[公开漏洞]中国知网分站存在命令执行高危漏洞

中国知网分站存在命令执行高危漏洞 相关厂商： 中国知网 漏洞作者：养乐多Ngan 提交时间：2014-05-15 11:01 公开时间：2014-06-29 11:04 漏洞类型：命令执行 危害等级：高 自评Rank：11 漏洞状态： 未联系到厂商或者厂商积极忽略 漏洞来源：http://www.wooyun.org Tags标签： 远程命令执行 远程代码执行 漏洞详情 披露状态：

2014-05-15：积极联系厂商并且等待厂商认领中，细节不对外公开
2014-06-29：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

中国知网分站高危漏洞，在找论文的时候发现的，鉴于危害性，不方便在这里详细说明。

详细说明：

实际上是一个Struts2漏洞，但是Administrator权限，我就不多加赘述了。

测试地址：http://www.dangshi.cnki.net:8080/Nwkc/front/homehomeAction.action

漏洞证明：

修复方案：

打补丁吧

版权声明：转载请注明来源 养乐多Ngan@乌云 漏洞回应 厂商回应：

未能联系到厂商或者厂商积极拒绝