当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-074641

漏洞标题:万户OA某文件未授权访问导致SQL注入(N个政府单位中枪)

相关厂商:万户网络

漏洞作者: 鬼魅羊羔

提交时间:2014-09-01 17:11

修复时间:2014-11-30 17:12

公开时间:2014-11-30 17:12

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-01: 细节已通知厂商并且等待厂商处理中
2014-09-06: 厂商已经确认,细节仅向厂商公开
2014-09-09: 细节向第三方安全合作伙伴开放
2014-10-31: 细节向核心白帽子及相关领域专家公开
2014-11-10: 细节向普通白帽子公开
2014-11-20: 细节向实习白帽子公开
2014-11-30: 细节向公众公开

简要描述:

万户OA某文件未授权访问导致通用型注入,无需登录,涉及多个政府网站、及大型企业。对万户官网195个政府企业OA中,挑了几个做了次测试,大部分都有问题,有些是内网,有些没找到端口,我弄不了。。就没有测试。。

详细说明:

万户OA某版本未授权访问导致通用型注入,涉及多个政府网站、及大型企业。
该文件 defaultroot/mobile/setting/setPersonInfo.jsp没有做任何限制,无需登录,可直接访问,该文件参数未做功率,导致SQL注入,详情看图吧。。
有很多网站的OA都是内网的,我测不了,找了几个外网的,做了测试,都存在问题。
该例子中只例举普陀市中心医院,有一部分是客户,不方便直接发,自行测试吧。

漏洞证明:

普陀市中心医院
http://www.sptdch.cn:7001/defaultroot/mobile/setting/setPersonInfo.jsp
该文件无需登录,可直接访问
defaultroot/mobile/setting/setPersonInfo.jsp

11.jpg


该页面某些参数都做了隐藏,删除隐藏属性。。直接填写内容

22.jpg


而且,该页面未对setpers_UserAccounts、setpers_EmpEnglishName、setpers_EmpMobilePhone等参数做过滤,导致SQL注入

33.jpg


剩下的不截图了。。。自行测试吧。。

修复方案:

常规修复而已,你们懂~

版权声明:转载请注明来源 鬼魅羊羔@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2014-09-06 09:46

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2014-09-01 18:33 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    羊羔现在很少来了啊。。。

  2. 2014-09-01 18:34 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @px1624 嗯啊,懒的挖洞,天天灌水呢。。

  3. 2014-09-01 21:04 | saline ( 普通白帽子 | Rank:231 漏洞数:32 | Focus On Web Secur1ty)

    我擦,这个万户竟然上首页,大厂商了?为何之前提的都是小厂商阿

  4. 2014-09-01 22:23 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @saline 看清楚,不是上首页,是最新提交。。

  5. 2014-09-01 22:24 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    @saline 难道最新提交的,不会在上面显示么??好久没发东西了。。