jeecms V2.4.2 ArtiSearch.do 远程命令执行漏洞

2016-01-20T00:00:00
ID SSV:90545
Type seebug
Reporter kikay
Modified 2016-01-20T00:00:00

Description

0x01 框架概述

江西金磊科技发展有限公司(以下简称金磊科技)成立于2003年,旗下产品JEECMS内容管理系统是国内java开源CMS行业知名度最高、用户量最大的站群管理系统。金磊科技是一家专注java WEB应用软件研发高新技术企业。Jeecms是基于java技术研发的站群管理系统,稳定、安全、高效、跨平台、 无限扩展是jeecms 的优点,系统支持mysql、oracle、sqlserver、db2等主流 数据库。

主页:http://www.jeecms.com

0x02 漏洞细节

谷歌搜索:inurl:jeecms/ArtiSearch.do

涉及大量案例

漏洞证明: http://www.wwxzfw.gov.cn/jeecms/ArtiSearch.do?count=10&searchKey=a%27+and+1%3D1&chnlId=

text

text

0x03 参考链接

http://www.wooyun.org/bugs/wooyun-2014-072306