当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-05217

漏洞标题:凡客某频道SQL注入可导致用户名密码及其他敏感信息泄露

相关厂商:凡客诚品

漏洞作者: Jannock

提交时间:2012-03-12 22:13

修复时间:2012-04-26 22:14

公开时间:2012-04-26 22:14

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-03-12: 细节已通知厂商并且等待厂商处理中
2012-03-13: 厂商已经确认,细节仅向厂商公开
2012-03-23: 细节向核心白帽子及相关领域专家公开
2012-04-02: 细节向普通白帽子公开
2012-04-12: 细节向实习白帽子公开
2012-04-26: 细节向公众公开

简要描述:

凡客某频道SQL注入,由于缺乏足够的安全设计和安全隔离,可导致用户账号密码及其他敏感信息泄露,内部数据库账号密码泄露,官方邮箱系统账号密码泄露

详细说明:

http://en.vancl.com/product/ProductIndex.aspx?startStr=C%27
http://demoen.vancl.com/product/ProductIndex.aspx?startStr=C%27
声明:下面图片可能引发不安,但本人只是使用工具扫到那结束,所有数据没有保留。。


用户邮箱账号密码及其他信息泄露


内部数据库账号密码泄露


官方邮箱系统账号密码泄露

漏洞证明:


修复方案:

您懂得

版权声明:转载请注明来源 Jannock@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-03-13 10:45

厂商回复:

O__O"…

最新状态:

暂无

漏洞评价:

评论

  1. 2012-03-12 22:32 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    无帐号毫无压力的飘过

  2. 2012-03-13 00:11 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    都能拖用户了还自评10分!!!太自谦了!!!

  3. 2012-03-13 00:20 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    都600多分了,也不缺那10分了是不?哈哈哈

  4. 2012-03-13 00:33 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @p.z 这才是乌云的脊梁啊! 比起某些筒子啊 咳

  5. 2012-03-13 09:08 | 黑龙 ( 路人 | Rank:5 漏洞数:4 | http://bit.ly/zCr8h5)

    谢谢分享,等待细节

  6. 2012-03-13 12:54 | 疏懒 ( 普通白帽子 | Rank:359 漏洞数:42 | 不能尽如人意,但求知足常乐~!)

    厂商回复的表情好Q~呵呵~

  7. 2012-03-13 12:59 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    15点。╭(╯3╰)╮

  8. 2012-04-26 23:17 | 小禾吉 ( 路人 | Rank:0 漏洞数:1 | 宇宙的目的很可能和人类没有关系,宇宙很可...)

    O__O"…