当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0144231

漏洞标题: 大愛電視 DaAi TV SQL注入漏洞一枚

相关厂商:大爱电视台

漏洞作者: 至尊宝

提交时间:2015-10-07 23:04

修复时间:2015-11-26 16:38

公开时间:2015-11-26 16:38

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:8

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-07: 细节已通知厂商并且等待厂商处理中
2015-10-12: 厂商已经确认,细节仅向厂商公开
2015-10-22: 细节向核心白帽子及相关领域专家公开
2015-11-01: 细节向普通白帽子公开
2015-11-11: 细节向实习白帽子公开
2015-11-26: 细节向公众公开

简要描述:

台湾大爱电视台是由慈济传播文化志业基金会所经营的电视网,原名慈济大爱电视台、大爱卫星电视股份有限公司,创立于1998年1月1日,为慈济基金会所属之非营利事业,成立宗旨为透过电视传播,净化人心。台呼是:“大爱,让世界亮起来。”
大爱电视为一家不收商业广告的电视台;其资金来自慈济基金会环保志工从事资源回收所得,以及善心人士捐款。
大爱电视在成立之初,一度被定义为宗教电视台;但经过多年努力,以真人真事改编的连续剧《大爱剧场》,连创收视佳绩,已经成为台湾家喻户晓的电视频道。
大爱电视所制播的新闻及节目,着重在为时代作见证,为慈济写历史。取材清新,希望既‘报’且‘导’,引导观众看得更真,想得更深。
面对科技变化快速的时代,大爱电视率先研发数位采编播存系统,成为台湾首家完全无带化,数位播出的电视台。

详细说明:

注入url:

http://www.daai.tv/daai-web/more/project.php?c=986%20and%201%3d2


附:另一个漏洞 不过没测试过

http://www.daai.tv/daai-web/more/../more/project.php?c=909%20and%201%3d2&fm=icon


曝数据库:

01.png

漏洞证明:

数据库中的表:

02.png


用户名密码:

2.png


md5:

1.png


其他视频资源文件,但是没翻墙访问不了

3.png

修复方案:

参数过滤

版权声明:转载请注明来源 至尊宝@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-10-12 16:36

厂商回复:

CNVD未直接复现所述漏洞情况,暂未建立与网站管理单位的直接处置渠道,待认领。

最新状态:

暂无

漏洞评价:

评价