当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020757

漏洞标题:某cms系统的sql注入导致的一批edu站的sql注入

相关厂商:一批高校

漏洞作者: VIP

提交时间:2013-03-27 16:40

修复时间:2013-05-11 16:41

公开时间:2013-05-11 16:41

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-03-27: 细节已通知厂商并且等待厂商处理中
2013-03-31: 厂商已经确认,细节仅向厂商公开
2013-04-10: 细节向核心白帽子及相关领域专家公开
2013-04-20: 细节向普通白帽子公开
2013-04-30: 细节向实习白帽子公开
2013-05-11: 细节向公众公开

简要描述:

某cms

详细说明:

南京师范大学
http://dky.njnu.edu.cn/news.asp?id=887
http://xinchuan.njnu.edu.cn/news.asp?id=131
琼州学院
http://jwc.qzu.edu.cn/jwc/news.asp?id=148
江西财经大学
http://software.jxufe.edu.cn/news.asp?id=406
西安电子科技大学
http://sme.xidian.edu.cn/news.asp?id=&bh=1389
福建省医疗器械和医药技术重点实验室
http://mipt.fzu.edu.cn/news.asp?id=511
北京信息科技大学
http://rsc.bistu.edu.cn/NewsShow.asp?id=381
云南大学
http://www.jclab.ynu.edu.cn/news.asp?id=448
广州城建职业学院
http://wyx.gzccc.edu.cn/news.asp?id=156
经过查找,这些站基本使用的都是EmpireCMS。

漏洞证明:

例如:

http://dky.njnu.edu.cn/news.asp?id=887 and 1=1
http://dky.njnu.edu.cn/news.asp?id=887 and 1=2

明显不一样,说明存在注入。

修复方案:

过滤呢

版权声明:转载请注明来源 VIP@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-03-31 21:37

厂商回复:

CNVD确认并复现所述情况(多个实例),在28日已经尝试软件生产厂商,根据生产厂商29日反馈情况,该软件并非该厂商生产(EmpireCMS)。同时相关事件情况CNVD已转报CCERT和上海交通大学网络中心,由其继续跟踪处置相关高校实例。
rank 15

最新状态:

暂无


漏洞评价:

评论

  1. 2013-03-27 16:56 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    楼主123hack了还是实习,这不科学呀@xsser

  2. 2013-03-27 16:57 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)

    @梧桐雨 难道关小黑屋了?

  3. 2013-03-27 17:33 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:202 | 关注技术与网络安全(招人中,有兴趣请私信...)

    很霸气的 一批

  4. 2013-03-27 17:56 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    相关厂商: 一批高校

  5. 2013-03-27 19:57 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    @wefgod 我填的是cncert国家互联网应急中心 被xsser修改了

  6. 2013-03-27 22:14 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    原来如此……不过那一批高校···到底是什么厂商呢

  7. 2014-02-26 16:24 | Jungle ( 路人 | Rank:5 漏洞数:4 | 码砖工)

    现在都还在?

  8. 2014-02-26 16:45 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    好多个悲剧了啊