漏洞概要
关注数(24)
关注此漏洞
漏洞标题:中国电信多个分站点存在SQL注入漏洞
提交时间:2014-03-17 14:13
修复时间:2014-05-01 14:14
公开时间:2014-05-01 14:14
漏洞类型:SQL注射漏洞
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2014-03-17: 细节已通知厂商并且等待厂商处理中
2014-03-24: 厂商已经确认,细节仅向厂商公开
2014-04-03: 细节向核心白帽子及相关领域专家公开
2014-04-13: 细节向普通白帽子公开
2014-04-23: 细节向实习白帽子公开
2014-05-01: 细节向公众公开
简要描述:
电信注入
详细说明:
#站点list:
http://www.hbitsx.com.cn
http://www.ks.js.cn
http://yz3g.mobi
#注入点list:
1.IT时讯电子报
http://www.hbitsx.com.cn/ImageContent.aspx?BlockTypeID=1&IsFirstPage=1
http://www.hbitsx.com.cn/MoreContentList.aspx?QNum=20140125
http://www.hbitsx.com.cn/forum.aspx?QNum=20140125&BlockTypeID=1&IsFirstPage=1
2.昆山视窗
http://food.ks.js.cn/sj_show.aspx?id=1041
http://food.ks.js.cn/web_1/default.aspx?id=1041
http://food.ks.js.cn/ztshow.aspx?id=61
http://food.ks.js.cn/wbshow.aspx?id=1427&keepThis=true&TB_iframe=true&height=350&width=400
3.扬州天翼
POST注入
漏洞证明:
IT时讯电子报
tb:泄露管理员账户,弱口令
昆山视窗
扬州天翼
修复方案:
版权声明:转载请注明来源 小包子@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:17
确认时间:2014-03-24 22:20
厂商回复:
CNVD确认并复现所述多个案例情况,已经转由CNCERT直接通报中国电信集团公司,由其后续分别下发给对应省公司处置。按多个漏洞进行评分,rank 17
最新状态:
暂无
漏洞评价:
评论
-
2015-07-22 22:12 |
李叫兽就四李叫兽 ( 路人 | Rank:23 漏洞数:14 | 啦啦啦啦)