漏洞概要
关注数(24)
关注此漏洞
漏洞标题:某通用型cms建站系统注入漏洞(涉及大量政务网站)
提交时间:2015-02-25 09:09
修复时间:2015-04-13 16:58
公开时间:2015-04-13 16:58
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2015-02-25: 细节已通知厂商并且等待厂商处理中
2015-03-02: 厂商已经确认,细节仅向厂商公开
2015-03-05: 细节向第三方安全合作伙伴开放
2015-04-26: 细节向核心白帽子及相关领域专家公开
2015-05-06: 细节向普通白帽子公开
2015-05-16: 细节向实习白帽子公开
2015-04-13: 细节向公众公开
简要描述:
某通用型cms建站系统注入漏洞(涉及大量政务网站)
详细说明:
厂商:延边创智科技有限公司
谷歌关键字:inurl:Y01/ws_xw/info.asp
存在大量网站:
http://www.ybga.gov.cn/ybzgaj/Y01/ws_xw/info.asp?mkbh=M001004
http://www.ybztz.gov.cn/Y01/ws_xw/info.asp?mkbh=M007005
http://www.ybxfj.gov.cn/Y01/ws_xw/info.asp?mkbh=M004001
http://www.ybzhbj.gov.cn/Y01/ws_xw/info.asp?mkbh=M004001
http://www.dhjsj.gov.cn/jsj/Y01/ws_xw/info.asp?mkbh=M004001
http://www.atxga.com/Y01/ws_xw/info.asp?mkbh=M002001
http://www.xy1957.com/y01/ws_xw/info.asp?mkbh=M003001
http://www.dirui.com.cn/Y01/ws_xw/info.asp?mkbh=M001002
http://www.yjbhdl.com/Y01/ws_xw/info.asp?mkbh=M006001
http://www.ybzw.net/Y01/ws_xw/info.asp?mkbh=M004001
http://www.123555.net/Y01/ws_xw/info.asp?mkbh=M004001
http://www.dhsyzx.cn/Y01/ws_xw/f01_info.asp?mkbh=M009001
http://www.dbysjy.com/Y01/ws_xw/info.asp?mkbh=M001002
http://yballvideo.com/Y01/ws_xw/info.asp?mkbh=M002010
http://www.yongzhenfood.com/cn/Y01/ws_xw/info.asp?mkbh=M003001
http://sysmed.cn/china/Y01/ws_xw/info.asp?mkbh=M004001
http://www.jladly.com/Y01/ws_xw/info.asp?mkbh=M006002
http://www.dan-hua.com/cn/Y01/ws_xw/info.asp?mkbh=M004001
http://www.yjweiye.net/Y01/ws_xw/info.asp?mkbh=M001002
http://www.ybyingchi.com/Y01/ws_xw/f03_info.asp?mkbh=M005001
http://www.ybdf.com/www/Y01/ws_xw/info.asp?mkbh=M005003
http://www.ybdadi.com/ybdadi/Y01/ws_xw/info.asp?mkbh=M003001
http://www.caoxianyy.com/cxyy/Y01/ws_xw/info.asp?mkbh=M002001
http://www.yjggqc.com/gjgs/Y01/ws_xw/info.asp?mkbh=M002001
http://www.ybcyyy.net/cyyy/Y01/ws_xw/info.asp?mkbh=M006001
http://www.hebbeilin.com/Y01/ws_xw/info.asp?mkbh=M011007
首先厂商主站存在sql注入
http://ybczkj2.bjsx30.host.35.com/ybczkj/Y01/ws_xw/info.asp?mkbh=M007001
下面证明通用性:
1.吉林省某公安局
http://www.ybga.gov.cn/ybzgaj/Y01/ws_xw/info.asp?mkbh=M001004
2.国家某统战部sql注入
http://www.ybztz.gov.cn/Y01/ws_xw/info.asp?mkbh=M007005
3.吉林省某信访局sql注入
http://www.ybxfj.gov.cn/Y01/ws_xw/info.asp?mkbh=M004001
4.吉林省某环保局
http://www.ybzhbj.gov.cn/Y01/ws_xw/info.asp?mkbh=M004001
5.延边州某公安局sql注入
http://www.atxga.com/Y01/ws_xw/info.asp?mkbh=M002001
6.吉林省某重点中学注入
http://www.dhsyzx.cn/Y01/ws_xw/f01_info.asp?mkbh=M009001
7.河北省某林场管理局网站sql注入
http://www.hebbeilin.com/Y01/ws_xw/info.asp?mkbh=M011007
还有很多网站,不逐一证明了
漏洞证明:
修复方案:
版权声明:转载请注明来源 Mr.Q@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:18
确认时间:2015-03-02 15:56
厂商回复:
CNVD确认所述情况,已经由CNVD通过网站公开联系方式向软件生产厂商通报。
最新状态:
暂无
漏洞评价:
评论