摩托罗拉某系统存在命令执行漏洞

编号229040
Urlhttp://www.wooyun.org/bug.php?action=view&id=229040
漏洞状态漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题摩托罗拉某系统存在命令执行漏洞
漏洞类型系统/服务运维配置不当
厂商motorola.com.cn
白帽子路人甲
提交日期2016-07-14 10:26:00
公开日期2016-07-18 16:05:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签命令执行
关注数0
收藏数0
白帽评级
白帽自评rank15
厂商评级
厂商评rank0
漏洞简介
RT
漏洞细节

Struts2 devMode导致远程代码执行漏洞
漏洞url:http://www.msol.cc:8080/user_goRegisterPage.action

1.png

POC

2.png

修复方案

关闭devMode:在struts.xml 设置
<constant name="struts.devMode" value="false" />

状态信息 2016-07-14: 细节已通知厂商并且等待厂商处理中
2016-07-18: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复摩托对讲机不属于联想,联想只有摩托手机业务。
回应信息危害等级:无影响厂商忽略忽略时间:2016-07-18 16:05