漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-042583
漏洞标题:TCL条码系统存在SQL注入漏洞
相关厂商:TCL官方网上商城
漏洞作者: jaojan
提交时间:2013-11-11 15:02
修复时间:2013-12-26 15:03
公开时间:2013-12-26 15:03
漏洞类型:SQL注射漏洞
危害等级:中
自评Rank:8
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-11-11: 细节已通知厂商并且等待厂商处理中
2013-11-11: 厂商已经确认,细节仅向厂商公开
2013-11-21: 细节向核心白帽子及相关领域专家公开
2013-12-01: 细节向普通白帽子公开
2013-12-11: 细节向实习白帽子公开
2013-12-26: 细节向公众公开
简要描述:
TCL条码系统存在post注入
详细说明:
TCL条码系统存在post注入,若被利用,导致不必要的麻烦
地址http://218.106.129.6/logo.asp
inlo1这个参数
漏洞证明:
+--------------+-------------+----------+--------------
| UserID | AuthorityID | UserName | Password
+--------------+-------------+----------+--------------
| bimj | G | ??? | 123456
| bjjing | G | ??RDC | bjjing
| bjzyc | D | ????? | bjzyc
| caijp | G | ??? | caijp
| caoxh | P | ??? | caoxh
| changszyc | G | ????? | changszyc
| chendp | P | chendp | chendp976
| chendz | D | ??? | chendz
| chenfx | P | ??? | jsfwb
| chenhch | D | ??? | chenhch
| chenjian | D | ?? | 123456
| chenlf | G | ??? | chenhy
| chenpx | P | ??? | chenpxx
| chenyingh | D | ??? | 123
| chenzy | D | ??? | 123456
| chuyq | P | ??? | 123456
| cuiyt | D | ??? | cuiyt
| dengfang | G | ?? | 000000
| dengshengqin | D | ??? | dengshengqin
| dingxzh | G | ??? | dingxzh
| dm | E | ????? | md
| dongmingshi | D | ??? | 123456
| fangf | D | ?? | 123456
| fangj | D | ?? | fangj
| fansq | G | ??? | fansq
| fufj | D | ??? | 123456
| fulongt | G | ??? | 123456
| guicf | D | ??? | guicf
| gujj | G | ??? | gujj
可以进去后台
修复方案:
请过滤参数inlo1
版权声明:转载请注明来源 jaojan@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2013-11-11 16:30
厂商回复:
多谢提醒,已转交相关部门处理。
最新状态:
暂无