漏洞概要
关注数(24)
关注此漏洞
漏洞标题:孚立采编发系统搜索型SQL注入漏洞(MSSQL数据库,涉及政府、企业和研究所等)
提交时间:2015-03-24 12:46
修复时间:2015-06-25 16:26
公开时间:2015-06-25 16:26
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:18
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2015-03-24: 细节已通知厂商并且等待厂商处理中
2015-03-27: 厂商已经确认,细节仅向厂商公开
2015-03-30: 细节向第三方安全合作伙伴开放
2015-05-21: 细节向核心白帽子及相关领域专家公开
2015-05-31: 细节向普通白帽子公开
2015-06-10: 细节向实习白帽子公开
2015-06-25: 细节向公众公开
简要描述:
RT
详细说明:
《孚立采编发系统》 整合了信息内容自动采集,编辑与管理、信息共享、平台集成的管理思想。系统拥有高速的执行效率,满足更快的访问和编辑要求。它的推出可以帮助各类型组织快速构建与其业务紧密相连的门户网站,方便组织的信息采集与发布,实现内外部信息的实时传送与反馈,帮助客户极大地提高效率,扩展竞争空间。
孚立采编发使命:让工作轻松,让操作高效,让用户快乐。
大部分是政府站点。
公司主站:http://www.free-softs.com:8080/
文件indexinfo.jsp中ISubject存在注入
有很多案例,列举一部分
http://www.hz-zj.com/infoview/indexinfo.jsp?ISubject=
http://101.68.66.218/infoview/indexinfo.jsp?ISubject=
http://218.108.56.70/indexinfo.jsp?ISubject=
http://42.121.195.98/infoview/indexinfo.jsp?ISubject=
http://www.fzttj.com/infoview/indexinfo.jsp?ISubject=
http://www.jgwt.gov.cn/indexinfo.jsp?ISubject=
http://www.szdlr.gov.cn/infoview/indexinfo.jsp?ISubject=
http://218.108.56.70/indexinfo.jsp?ISubject=
http://kh.nj110.net:8089/infoview/indexinfo.jsp?ISubject=
...
演示其中一个站点:
URL:http://www.fzttj.com/infoview/indexinfo.jsp?ISubject=
跑数据库:
表和数据不跑了。。。
其他信息
声明:仅仅是测试,无任何破坏。
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:14
确认时间:2015-03-27 16:25
厂商回复:
CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给浙江分中心,由浙江分中心后续协调网站管理单位处置
最新状态:
暂无
漏洞评价:
评论