某政府在用系统存在一处SQL注入 | wooyun-2015-095266| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-095266

漏洞标题：某政府在用系统存在一处SQL注入

漏洞作者：路人甲

提交时间：2015-02-06 15:43

修复时间：2015-05-12 11:26

公开时间：2015-05-12 11:26

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-02-06：细节已通知厂商并且等待厂商处理中
2015-02-11：厂商已经确认，细节仅向厂商公开
2015-02-14：细节向第三方安全合作伙伴开放
2015-04-07：细节向核心白帽子及相关领域专家公开
2015-04-17：细节向普通白帽子公开
2015-04-27：细节向实习白帽子公开
2015-05-12：细节向公众公开

简要描述：

详细说明：

问题厂商：山东农友软件公司
用户量：大
影响：广
注入点：VillagePersonal.aspx?tname
google关键字：VillagePersonal.aspx?tname
测试案例：
http://221.2.149.47:8200/newSymSum/VillagePersonal.aspx?tname=%e5%af%bb%e5%b1%b1%e5%8a%9e%e4%ba%8b%e5%a4%84&CountryName=%e5%af%bb%e5%b1%b1%e6%9d%91
http://111.17.169.213:801/newSymSum/VillagePersonal.aspx?tname=%e5%82%85%e5%ae%b6%e9%95%87&CountryName=%e5%b0%8f%e7%94%b0%e6%9d%91
http://218.56.40.229:8045/newSymSum/VillagePersonal.aspx?tname=%e9%bb%84%e5%8a%a1%e8%a1%97%e9%81%93%e5%8a%9e&CountryName=%e5%bc%a0%e5%ae%b6%e5%b1%85%e6%b0%91%e5%8c%ba
http://222.135.76.147:8200/newSymSum/VillagePersonal.aspx?tname=%e5%9f%8e%e8%a5%bf%e5%8a%9e%e4%ba%8b%e5%a4%84&CountryName=%e6%b2%bd%e6%b3%8a%e5%a7%9a%e5%ae%b6
http://222.135.109.70:8200/newSymSum/VillagePersonal.aspx?tname=%e5%ae%8b%e6%9d%91%e9%95%87&CountryName=%e5%8f%b0%e4%b8%8a%e6%9d%91
http://218.59.205.41:8053/newSymSum/VillagePersonal.aspx?tname=%e5%ae%89%e4%b8%b4%e7%ab%99%e9%95%87&CountryName=%e8%91%9b%e5%ae%b6%e5%8f%b0
http://123.134.189.60:8022/newSymSum/VillagePersonal.aspx?tname=%e5%87%a4%e5%9f%8e%e8%a1%97%e9%81%93%e5%8a%9e%e4%ba%8b%e5%a4%84&CountryName=%e8%91%a3%e8%8a%b1%e5%9b%ad%e7%a4%be%e5%8c%ba
http://jwh.tanljgzx.gov.cn/newSymSum/VillagePersonal.aspx?tname=%e8%b0%b7%e9%87%8c%e9%95%87&CountryName=%e5%b0%8f%e5%be%90%e5%ba%84%e6%9d%91

漏洞证明：

http://jwh.tanljgzx.gov.cn/newSymSum/VillagePersonal.aspx?tname=%e8%b0%b7%e9%87%8c%e9%95%87&CountryName=%e5%b0%8f%e5%be%90%e5%ba%84%e6%9d%91

http://218.59.205.41:8053/newSymSum/VillagePersonal.aspx?tname=%e5%ae%89%e4%b8%b4%e7%ab%99%e9%95%87&CountryName=%e8%91%9b%e5%ae%b6%e5%8f%b0

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：14

确认时间：2015-02-11 11:24

厂商回复：

CNVD确认所述情况，由CNVD通过网站公开联系方式向软件生产厂商通报。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-095266

漏洞标题：某政府在用系统存在一处SQL注入

相关厂商：山东农友软件公司

漏洞作者：路人甲

提交时间：2015-02-06 15:43

修复时间：2015-05-12 11:26

公开时间：2015-05-12 11:26

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-095266

漏洞标题：某政府在用系统存在一处SQL注入

相关厂商：山东农友软件公司

漏洞作者： 路人甲

提交时间：2015-02-06 15:43

修复时间：2015-05-12 11:26

公开时间：2015-05-12 11:26

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-095266"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云