当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-098333

漏洞标题:盛大旗下有妖气漫画网某分站SQL注入

相关厂商:盛大网络

漏洞作者: Mr .LZH

提交时间:2015-02-25 21:48

修复时间:2015-02-27 17:32

公开时间:2015-02-27 17:32

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-25: 细节已通知厂商并且等待厂商处理中
2015-02-26: 厂商已经确认,细节仅向厂商公开
2015-02-27: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

盛大旗下有妖气漫画网某分站sql注入

详细说明:

help.u17.com采用HDWiki,而这套系统存在注入。
漏洞地址:help.u17.com/index.php?edition-compare-1
post数据:eid[0]=2&eid[1]=19&eid[2]=-3
注入参数:eid[2]

1.jpg

漏洞证明:

1.jpg

修复方案:

更新版本

版权声明:转载请注明来源 Mr .LZH@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-02-26 14:53

厂商回复:

感谢通知,已经联系u17的安全同学,正在努力修复中。。。

最新状态:

2015-02-27:漏洞已经修复。再次感谢。另外,有妖气的洞以后大家可以直接提供给有妖气啦


漏洞评价:

评论

  1. 2015-02-25 21:55 | 天地不仁 以万物为刍狗 ( 普通白帽子 | Rank:977 漏洞数:264 | 天地本不仁 万物为刍狗)

    坑爹啊 到我这就不通过 其他说明:貌似就是个普通账号,没什么权限,而且有妖气已不再盛大下面我这附赠了一个反射 一个存储 xsshttp://www.wooyun.org/bugs/wooyun-2015-097586/trace/97d23e13cbbe7da2b5c521c1238fcbe6

  2. 2015-02-25 21:57 | Mr .LZH ( 普通白帽子 | Rank:583 漏洞数:75 | 非妹子勿扰···)

    @天地不仁 以万物为刍狗 卧槽。。。。还有这一幕

  3. 2015-02-25 22:06 | ling ( 实习白帽子 | Rank:76 漏洞数:35 | 我是屌丝、我为自己代言 。)

    1

  4. 2015-02-26 09:20 | 天下第一女法师 ( 实习白帽子 | Rank:56 漏洞数:10 | 口算md5)

    @天地不仁 以万物为刍狗 正常 习惯就好 我朋友提交了个官方网站挂1.txt 居然没有通过 说没有影响

  5. 2015-02-26 16:06 | 明月影 ( 路人 | Rank:12 漏洞数:8 | 学姿势,学思路。)

    吃了亏还敢说出来,疯狗咬死你。(疯狗不要咬我)

  6. 2015-03-01 17:23 | Icebreaker ( 路人 | Rank:10 漏洞数:2 | 方向比努力重要,能力比知识重要,健康比成...)

    >_<