当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0150196

漏洞标题:寶島驊宏資通公司主站sql注入+後臺sql注入萬能密碼,已經get shell(臺灣地區)

相关厂商:Hitcon台湾互联网漏洞报告平台

漏洞作者: just hool

提交时间:2015-10-29 11:46

修复时间:2015-12-17 00:46

公开时间:2015-12-17 00:46

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(Hitcon台湾互联网漏洞报告平台)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-29: 细节已通知厂商并且等待厂商处理中
2015-11-02: 厂商已经确认,细节仅向厂商公开
2015-11-12: 细节向核心白帽子及相关领域专家公开
2015-11-22: 细节向普通白帽子公开
2015-12-02: 细节向实习白帽子公开
2015-12-17: 细节向公众公开

简要描述:

驊宏資通旗下有多家公司,駿永資訊、ED-IN電腦科技集團
駿永資訊 http://www.jetit.com.tw/
駿永資訊科技股份有限公司為驊宏集團旗下子公司,肩負拓展多元市場的任務,致力開發政府、電信公營服務、與金融市場的需求,並提供客戶虛擬化主機、儲存、網路服務,企業私有雲建置整合方案、企業資安解決方案、光纖纜線、光纖分析儀器、行動商務應用軟體開發設計、維修服務及其他技術支援。 駿永資訊承襲驊宏集團系統整合部門的競爭優勢與服務資源,業務包含系統整合業務,亦跨足電子工程、電機電纜工程、機房整合等,期許能以更專業、更宏觀的資訊服務能力協助客戶建置系統,並提供客製化的商務應用解決方案。
ED-IN電腦科技集團(ED-IN Data Technology Group Ltd. Co.)簡稱ED-IN,取自“Electronic Data Insurance資料安全保險”之義,前身為美國EDI科技有限公司(EDI Technology Inc.)。
1988年創建於美國加利福尼亞州的ED-IN公司,最初階段作為IT顧問與諮詢服務商,主要協助客戶解決系統配置、系統安全及應用層問題。不久後成功轉型進入資料存儲領域,從此開始專注於提供資料存儲產品、解決方案及相關服務。
二十年來,ED-IN公司密切關注全球先進科技的發展趨勢,追求高品質的服務之道,廣納業界優秀專家和資深人士,憑藉開放式、跨平台的獨特技術優勢,成功拓展了亞太地區資料存儲市場,同時亦成為中國地區規模最大、專業化程度最高的全面存儲解決方案提供商之一;ED-IN更是IBM亞太區唯一擁有三個IBM TSSC的合作夥伴,及IBM大中華地區存儲產品線最大、也是唯一擁有其全面存儲解決方案提供能力的經銷商。

详细说明:

擷取.PNG


主站報錯

2.PNG


後臺

3.PNG


4.PNG


5.PNG


6.PNG


網馬

7.PNG

漏洞证明:

擷取.PNG


主站報錯

2.PNG


後臺

3.PNG


4.PNG


5.PNG


6.PNG


網馬

7.PNG

修复方案:

過濾

版权声明:转载请注明来源 just hool@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-11-02 00:44

厂商回复:

感謝通報

最新状态:

暂无


漏洞评价:

评价