当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-051706

漏洞标题:程氏舞曲 Sql一枚 依旧无视Gpc。

相关厂商:chshcms.com

漏洞作者: ′雨。

提交时间:2014-02-25 11:16

修复时间:2014-05-26 11:17

公开时间:2014-05-26 11:17

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-02-25: 细节已通知厂商并且等待厂商处理中
2014-02-25: 厂商已经确认,细节仅向厂商公开
2014-02-28: 细节向第三方安全合作伙伴开放
2014-04-21: 细节向核心白帽子及相关领域专家公开
2014-05-01: 细节向普通白帽子公开
2014-05-11: 细节向实习白帽子公开
2014-05-26: 细节向公众公开

简要描述:

程氏CMS_V3.5_ 正式版 更新时间:2014-02-18 下载次数:13145
表示下载的这个 是最新的了把?
无需登录 无视Gpc。

详细说明:

在app/controllers/zj.php中

public function so()
{
$data='';$data_content='';
$fid = $this->security->xss_clean($this->uri->segment(3)); //方式
$key = $this->security->xss_clean($this->uri->segment(4)); //关键字
$page = intval($this->security->xss_clean($this->uri->segment(5))); //页数
if($page==0) $page=1;
$key=$this->CsdjSkins->rurlencode($key);

if(empty($key)) $key = $this->input->post('key', TRUE);

$cache_id ="topic_so_".$fid."_".$key."_".$page;


$key = $this->security->xss_clean($this->uri->segment(4));
xss_clean 把单引号过滤掉了。
但是有rurlencode这个。
看看它

function rurlencode($string) {
$key=rawurldecode($string);
if($this->is_utf8($key)){
$key=iconv('UTF-8', 'GB2312', $key);
}
return $key;
}


是解码的 那就无视过滤了。
直接come sql

$pagenum=$this->CsdjSkins->GetPageNum($Mark_Text);
preg_match_all('/{cscms:topic(.*?pagesize=([\S]+).*?)}([\s\S]+?){\/cscms:topic}/',$Mark_Text,$page_arr);//判断是否有分页标识
if(!empty($page_arr) && !empty($page_arr[2])){
if($fid=='tags'){
$sqlstr="select * from ".CS_SqlPrefix."topic where CS_YID=0 and CS_Tags like '%".$key."%' order by CS_AddTime desc";
}else{
$sqlstr="select * from ".CS_SqlPrefix."topic where CS_YID=0 and CS_Name like '%".$key."%' or CS_Year like '%".$key."%' order by CS_AddTime desc";
}

$Arr=$this->CsdjSkins->SpanPage($sqlstr,$page_arr[2][0],$pagenum,'so','zj',$fid,urlencode($key),1,$page);//sql,每页显示条数
$result=$this->CsdjDB->db->query($Arr[2]);
$recount=$result->num_rows();
if($recount==0){


这里看一下语句 然后构造一下。

漏洞证明:

2.jpg


3.jpg


官网 测试成功。

修复方案:

求20.
求包养。
求过滤。

版权声明:转载请注明来源 ′雨。@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-02-25 20:20

厂商回复:

感谢您的检测
已经修复!~

最新状态:

暂无


漏洞评价:

评论