ECSHOP全版本通杀注射之2（还是小细节害死人）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-088561

漏洞标题：ECSHOP全版本通杀注射之2（还是小细节害死人）

漏洞作者：黑暗游侠

提交时间：2014-12-30 11:54

修复时间：2015-04-02 10:23

公开时间：2015-04-02 10:23

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-12-30：细节已通知厂商并且等待厂商处理中
2014-12-30：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2015-02-23：细节向核心白帽子及相关领域专家公开
2015-03-05：细节向普通白帽子公开
2015-03-15：细节向实习白帽子公开
2015-04-02：细节向公众公开

简要描述：

ECSHOP全版本通杀注射2 # 还是小细节害死人

详细说明：

http://wooyun.org/bugs/wooyun-2014-086052 ECSHOP全版本通杀注射
这里的是用户名处，官方给了补丁，但是修复的仅仅是用户名处。。。。。

亲，注册还有邮箱处未修复！
注入依旧！

漏洞证明：

http://wooyun.org/bugs/wooyun-2014-086052 ECSHOP全版本通杀注射
这里的是用户名处，官方给了补丁，但是修复的仅仅是用户名处。。。。。

亲，注册还有邮箱处未修复！
注入依旧！POC和我上一处提交的一样！

修复方案：

加油

版权声明：转载请注明来源黑暗游侠@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-04-02 10:23

厂商回复：

不存在该问题
谢谢您的提交

漏洞评价：

2014-12-30 12:02 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

哈哈终于审核勒～
2014-12-30 12:09 | superbing ( 普通白帽子 | Rank:174 漏洞数:29 | 常羡古时儿女怀，嘻戏千山好自在。)

楼上就是神奇的路人甲？
2014-12-30 12:14 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

@superbing 不是啊
2014-12-30 12:25 | superbing ( 普通白帽子 | Rank:174 漏洞数:29 | 常羡古时儿女怀，嘻戏千山好自在。)

@黑暗游侠 WooYun: 成功漫游中国电信某省级总服务器可控制全省多行业机构路由/服务器等终端安全（部分政府/银行/学校等）看回复你个萌娃还装可爱哈！明明就是你提交的！路人甲路人甲
2014-12-30 13:16 | 发条橙子 ( 路人 | Rank:19 漏洞数:6 | ∑(っ °Д °;)っ)

CCAV看这里！
2014-12-30 14:07 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了，跪着也要...)

真的？
2014-12-30 14:45 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

@黑暗游侠这个是啥情况？
2014-12-30 15:05 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

@疯狗什么情况，我测试存在的呀，厂商在干嘛，狗哥你可以亲测
2014-12-30 17:17 | 无我 ( 路人 | Rank:0 漏洞数:5 | 我是无我)

什么情况，为什么没有细节？
2014-12-30 17:33 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

@黑暗游侠我看看本地的版本，是不是有前提条件的。
2014-12-30 17:39 | 黑暗游侠 ( 普通白帽子 | Rank:1780 漏洞数:268 | 123)

@疯狗无前提条件，开启手机wap商城
2014-12-31 11:25 | 孤独男孩 ( 路人 | Rank:8 漏洞数:5 | 专注网络信息安全，漏洞发掘，代码审核，云...)

到时候可以查看吗？开启wap商城导致的？
2015-01-04 18:50 | 指尖的温度 ( 路人 | Rank:12 漏洞数:7 )

坐等公开
2015-04-08 11:43 | ago ( 普通白帽子 | Rank:373 漏洞数:56 | long long ago,I am a bird.)

厉害~

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-088561

漏洞标题：ECSHOP全版本通杀注射之2（还是小细节害死人）

相关厂商：ShopEx

漏洞作者：黑暗游侠

提交时间：2014-12-30 11:54

修复时间：2015-04-02 10:23

公开时间：2015-04-02 10:23

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源黑暗游侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-088561

漏洞标题：ECSHOP全版本通杀注射之2（还是小细节害死人）

相关厂商：ShopEx

漏洞作者： 黑暗游侠

提交时间：2014-12-30 11:54

修复时间：2015-04-02 10:23

公开时间：2015-04-02 10:23

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-088561"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 黑暗游侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：黑暗游侠

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源黑暗游侠@乌云