当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0132097

漏洞标题:同花顺多个域名SQL注入(涉及94个数据库含各种内部系统管理账户等)

相关厂商:同花顺

漏洞作者: 管管侠

提交时间:2015-08-06 13:48

修复时间:2015-09-25 09:00

公开时间:2015-09-25 09:00

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-06: 细节已通知厂商并且等待厂商处理中
2015-08-11: 厂商已经确认,细节仅向厂商公开
2015-08-21: 细节向核心白帽子及相关领域专家公开
2015-08-31: 细节向普通白帽子公开
2015-09-10: 细节向实习白帽子公开
2015-09-25: 细节向公众公开

简要描述:

@@
忽略漏洞的厂商不是好厂商,快来确认

详细说明:

http://search.10jqka.com.cn/diag/concept-detail?conceptId=300433
https://220.189.211.10/diag/concept-detail?conceptId=300433
http://s.10jqka.com.cn/diag/concept-detail?conceptId=300920

漏洞证明:

available databases [94]:
[*] `new-web`
[*] ad_admin
[*] advertising
[*] assess_queryresult
[*] bin_log
[*] bugfree2
[*] bugfree_test
[*] cakephp
[*] channels_opeator_log
[*] chunkquery
[*] crawl_bug
[*] crawl_users
[*] crawler_admin
[*] dagudong
[*] data_operation_bak0608
[*] department_structrue
[*] diagnosis_stock
[*] domain_admin_bak0608
[*] dwiki
[*] ecshop
[*] entry_admin_bak
[*] external_admin_bak0608
[*] file_config
[*] finance
[*] fortest
[*] GMonitor
[*] hexinwikidb
[*] info_stockpick
[*] information_schema
[*] inputQuery_Sample
[*] khxt
[*] knowledge
[*] manage_admin
[*] messagepage_stock
[*] mysql
[*] new_crawler
[*] new_schema
[*] news
[*] newssurface_stockpick
[*] onlinelog
[*] ontology_users
[*] op_webstockpick
[*] organization
[*] other_admin
[*] people
[*] personnel
[*] phrase
[*] phrase_20140505
[*] phrase_bak
[*] POMonitor_bak0608
[*] port_admin
[*] port_users
[*] protege
[*] protege_st
[*] query_chunk_bak0608
[*] queryChunk
[*] queryChunk_bak
[*] queryChunk_bak20130516
[*] queryChunk_bak20130517
[*] queryChunk_bak20130521
[*] relations_crawler
[*] relations_library
[*] report
[*] research
[*] sample_webstockpick
[*] search_adjust
[*] search_admin
[*] search_admin_test
[*] search_bug
[*] search_Intervention0628
[*] snap_admin
[*] stat_log
[*] stock
[*] stockpick_test
[*] suyuan
[*] syntax_cn
[*] team_works
[*] teamusers
[*] test
[*] test_label
[*] test_master_slave
[*] test_wikidb
[*] test_zfmanagerelease
[*] thsnews
[*] trace_study
[*] users
[*] usersurvey
[*] vitrodb
[*] web_admin
[*] web_stockpick
[*] wikidb
[*] yii_app
[*] zhaopin_bak0608
[*] zjhadmin

1.png

修复方案:

@@

版权声明:转载请注明来源 管管侠@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-08-11 08:59

厂商回复:

已开始修复,谢谢。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-08-06 14:52 | 草原飞歌 ( 路人 | Rank:4 漏洞数:1 | #乌云白帽子福利#我在乌云集市使用1WB参与...)

    股票。。。。

  2. 2015-08-06 21:04 | 岛云厂商 ( 路人 | Rank:6 漏洞数:2 | 自由平等开放的漏洞报告平台)

    坐等5rank```

  3. 2015-08-06 22:04 | RipZ ( 普通白帽子 | Rank:146 漏洞数:38 | 安装tc130精神扰乱装置)

    妥妥忽略。。

  4. 2015-09-25 09:08 | hack_lan ( 路人 | Rank:4 漏洞数:3 | 爱好linux开源架构,安全,python)

    又是同花顺,谁还敢用啊...