当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025194

漏洞标题:中国铁通在线注射一枚

相关厂商:中国铁通在线

漏洞作者: 脚本小伙

提交时间:2013-06-06 12:05

修复时间:2013-07-21 12:05

公开时间:2013-07-21 12:05

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-06: 细节已通知厂商并且等待厂商处理中
2013-06-08: 厂商已经确认,细节仅向厂商公开
2013-06-18: 细节向核心白帽子及相关领域专家公开
2013-06-28: 细节向普通白帽子公开
2013-07-08: 细节向实习白帽子公开
2013-07-21: 细节向公众公开

简要描述:

中国铁通在线注射一枚

详细说明:

http://www.chinatietong.com/news/comment.php3?id=13777 注射
mssql数据库类型
表段如下 :

漏洞证明:

注入地址:
http://www.chinatietong.com/news/comment.php3?id=13777
表段信息如下:
----------------------------------------

ceoadmin.asp
rator
vote
Friend
msysobjects
BestTopic
vipusers
x_admin
userinfo
会员
user9
提示
游戏数据
金钱
bbsnews
犯罪
警察局
guanliyuan
syspassword
sysmima
gl
acctcode
游戏
hacktid
123456
user2
77169
123admin
CPU
news
cis
进账
VIP会员
systemroot
注意
admin888
users
sysobjects
film_username
user0
config


内容
----------------------------------------
收集时间:2013-06-05 14:25:52

修复方案:

....

版权声明:转载请注明来源 脚本小伙@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2013-06-08 23:34

厂商回复:

CNVD确认并复现所述情况,虽然在5日曾通报过铁通同站点SQL注入漏洞,但其未彻底修复,在8日晚CNVD测试所述漏洞仍然存在,拟在9日转由CNCERT直接协调中国移动集团公司处置。
rank 11

最新状态:

暂无

漏洞评价:

评论

  1. 2013-06-06 13:18 | cncert国家互联网应急中心(乌云厂商)

    之前报过铁通的一个注入,6日测试网站已经在着手整改。

  2. 2013-06-06 14:03 | 脚本小伙 ( 实习白帽子 | Rank:52 漏洞数:15 | 小书童)

    @cncert国家互联网应急中心 加油!

  3. 2013-06-08 23:34 | cncert国家互联网应急中心(乌云厂商)

    @脚本小伙 8日晚复现了。