漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-084013
漏洞标题:某通用型建站系统SQL注射
相关厂商:北京良精科技
漏洞作者: 小骇
提交时间:2014-11-24 00:53
修复时间:2015-02-22 00:54
公开时间:2015-02-22 00:54
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-11-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-02-22: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
.................
详细说明:
某通用型建站系统SQL注射。
中英文的双版建站系统。
关键字:inurl:CnProductShow.asp?id=(中文站)
inurl:EnProductShow.asp?id= (英文站)
案例如下:
http://www.sfiasia.com.cn/Island_Oasis/cnProductShow.asp?ID=132&productClass=45
http://www.mc2lighting.com/cnproductshow.asp?id=17
http://www.aisat.com.cn/cnProductShow.asp?id=23
http://www.kingdom-hardware.com/ware/cnproductshow.asp?ID=292
http://www.yongzhan.net/zhan/cnproductshow.asp?ID=280
http://led0579.com/cnproductshow.asp?big=42&id=444
http://www.tcmile.com/tl/cnproductshow.asp?id=27
http://www.amplestarenterprises.com/cnproductShow.asp?ID=146
http://fireworksyiwu.com/cnproductshow.asp?big=4&id=78
http://www.led0579.com/cnproductshow.asp?big=45&id=451
http://leyiduo.com/enproductshow.asp?id=117
http://www.gdolair.com/EnProductShow.asp?ID=345
http://www.sansentech.com/EnProductShow.asp?ID=117
http://www.loyaltoy.com/enProductShow.asp?ID=4111
http://eewell.com/EnProductShow.asp?ID=343
http://www.smwjw.com/sm/EnProductShow.asp?ClassID=20&ID=702
http://www.sehon.net/sh/enproductshow.asp?id=1963
http://www.econuodigital.com/enProductShow.asp?ID=281
http://www.szsuniu.com/enProductShow.asp?ID=339
http://www.dhltchem.com/EnProductShow.asp?ID=103
http://www.morewintyre.com/enProductshow.asp?ID=139
http://www.gdwenshen.com/enProductShow.asp?ID=8458
http://www.ywclock.com/web/EnProductShow.asp?ID=304
漏洞证明:
均可注入用户密码。
http://www.sfiasia.com.cn/Island_Oasis/cnProductShow.asp?ID=132&productClass=45
http://www.mc2lighting.com/cnproductshow.asp?id=17
http://www.aisat.com.cn/cnProductShow.asp?id=23
http://leyiduo.com/enproductshow.asp?id=117
http://eewell.com/EnProductShow.asp?ID=343
修复方案:
..........
版权声明:转载请注明来源 小骇@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝