漏洞概要
关注数(24)
关注此漏洞
漏洞标题:万达集团app云端主站SQL注入os-shell
提交时间:2015-11-09 10:09
修复时间:2015-12-24 17:48
公开时间:2015-12-24 17:48
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-11-09: 细节已通知厂商并且等待厂商处理中
2015-11-09: 厂商已经确认,细节仅向厂商公开
2015-11-19: 细节向核心白帽子及相关领域专家公开
2015-11-29: 细节向普通白帽子公开
2015-12-09: 细节向实习白帽子公开
2015-12-24: 细节向公众公开
简要描述:
万达集团官方app云端主站sql注入,shell,可通ww.wanda.cn/www.wandafilm.com/www.baidu.com。
另外,老板,再来两个月会员!
详细说明:
万达集团app 官方ios版
信息泄露的同时,存在sql注入,可shell,可通www.wanda.cn/www.wandafilm.com/www.baidu.com
http://app.wanda.cn/KidsReport/OA/RevenueDailydlYueReport.aspx?cpname=%E5%8C%85%E5%A4%B4%E4%B9%90%E5%9B%AD&datee=2015%E5%B9%B402%E6%9C%88
注入链接
http://app.wanda.cn/KidsReport/OATest/RevenueDailydlYueReport.aspx?cpname=%E5%8C%85%E5%A4%B4%E4%B9%90%E5%9B%AD&datee=2015%E5%B9%B402%E6%9C%88 (GET)
漏洞证明:
os-shell 内网地址可通官网,电影院线官网
网卡也不少,不深入了
修复方案:
版权声明:转载请注明来源 zzR@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2015-11-09 17:46
厂商回复:
感谢zzR同学的关注与贡献,马上通知业务整改。
最新状态:
暂无
漏洞评价:
评论
-
2015-11-09 10:18 |
爱上平顶山 ( 核心白帽子 | Rank:2882 漏洞数:576 | [不戴帽子]异乡过客.曾就职于天朝某机构.IT...)
-
2015-11-09 10:19 |
胡小树 ( 实习白帽子 | Rank:64 漏洞数:12 | 我是一颗小小树)
-
2015-11-09 10:22 |
zzR ( 核心白帽子 | Rank:1394 漏洞数:123 | 收wb 1:5 无限量收 [平台担保])
@爱上平顶山 是,饥不则路了已经,会员过期了有点捉急
-
2015-11-09 10:24 |
带馅儿馒头 ( 核心白帽子 | Rank:1312 漏洞数:147 | 心在,梦在)
-
2015-11-09 10:29 |
高小厨 ( 普通白帽子 | Rank:874 漏洞数:79 | 不会吹牛的小二不是好厨子!)
-
2015-11-09 11:02 |
zzR ( 核心白帽子 | Rank:1394 漏洞数:123 | 收wb 1:5 无限量收 [平台担保])
-
2015-11-09 11:04 |
白非白 ( 普通白帽子 | Rank:455 漏洞数:62 | ♫ Freedom - Anthony Hamilton ♫)
-
2015-11-09 11:06 |
zzR ( 核心白帽子 | Rank:1394 漏洞数:123 | 收wb 1:5 无限量收 [平台担保])
-
2015-11-09 11:09 |
zzR ( 核心白帽子 | Rank:1394 漏洞数:123 | 收wb 1:5 无限量收 [平台担保])