当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-041205

漏洞标题:vsb2008网站群内容管理系统延时型盲注

相关厂商:西安博达软件有限公司

漏洞作者: lxm

提交时间:2013-10-28 17:10

修复时间:2014-01-26 17:10

公开时间:2014-01-26 17:10

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:8

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-28: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-01-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

vsb2008 cms存在盲注
在某邮电大学网站验证可猜解库名表名

详细说明:

/system/resource/code/notemp.jsp在处理owner参数时过滤不严产生盲注

notemp.jsp
5:String owner = StringUtil.getParameter(request, "owner");
112:column = Manager.getInstance().getTreeManager(owner).getPositionWithName(treeid);


webbervsb.jar

vsb2008_3.jpg


此处owner未进行过滤

漏洞证明:

实际验证在某邮电大学验证过程

vsb2008_1.jpg


vsb2008_2.jpg

修复方案:

过滤...

版权声明:转载请注明来源 lxm@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝