漏洞概要
关注数(24)
关注此漏洞
漏洞标题:魔方某分站SQL注入
提交时间:2015-01-05 18:54
修复时间:2015-02-19 18:56
公开时间:2015-02-19 18:56
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:16
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2015-01-05: 细节已通知厂商并且等待厂商处理中
2015-01-06: 厂商已经确认,细节仅向厂商公开
2015-01-16: 细节向核心白帽子及相关领域专家公开
2015-01-26: 细节向普通白帽子公开
2015-02-05: 细节向实习白帽子公开
2015-02-19: 细节向公众公开
简要描述:
...SQL注入
详细说明:
0x01: 罗嗦两句
看到 @her0ma 提交的漏洞 WooYun: 魔方某系统SQL注入漏洞(员工帐号密码手到擒来)
漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞
为神马要忽略呢、百思不得解;
sql注入出现在站点:http://oa.52mf.cn/ 上,
可以参考我之前提交的通用型漏洞 WooYun: 泛微某系统通用型SQL注入(无需登录)
这里提出的意见是:①多看看厂商的漏洞补丁信息②Wooyun.org搜索[泛微]查看是否有最新的漏洞出现
0x02: 漏洞详情
问题链接:
http://oa.52mf.cn/weaver/weaver.email.FileDownloadLocation?fileid=32&download=1
问题参数:fileid
数据库:Oracle
爆出当前数据库名称
爆出数据库“ECOLOGY”中所有的表名(因1394多张表,这里不一一列出,证明即可)
不再深入…
漏洞证明:
修复方案:
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:13
确认时间:2015-01-06 09:04
厂商回复:
我公司认领该漏洞,并在处理中。谢谢
最新状态:
暂无
漏洞评价:
评论