详细说明：

#1.仔细研究发现存在一个编辑器存在任意文件上传可导致批量Getshell，影响危害极大。

厂商：
 

http://www.1caitong.com/ 北京网达信联科技发展有限公司

#2.Getshell漏洞。
 

/ftb.imagegallery.aspx 可以直接上传asp文件

 

 

【声明以下案例仅供CNCERT、CNVD复现测，其它人不得利用或使用其恶意破坏，否则后果自负！】

#3.案例测试：
 

http://eps.gfgt.com/ftb.imagegallery.aspx

 

 

 

http://eps.lomon.com:8008/ftb.imagegallery.aspx

 

 

http://ebid.rsm.com.cn:88/ftb.imagegallery.aspx

 

 

http://eps.hjgrp.com/ftb.imagegallery.aspx

 

 

http://www.bidding-mro.com/ftb.imagegallery.aspx

 

 

修复方案：

以上均未近一步测试，shell已经全部删除，点到为止，感谢你的支持与理解！请国家互联网应急中心通报给厂商尽快修复把~