08CMS汽车房产系统存在Mysql报错注入 | wooyun-2015-0110861| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0110861

漏洞标题：08CMS汽车房产系统存在Mysql报错注入

漏洞作者：路人甲

提交时间：2015-05-04 14:34

修复时间：2015-06-18 14:36

公开时间：2015-06-18 14:36

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：12

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-05-04：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-06-18：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

影响大量房产、汽车门户网希望给cncert处理

详细说明：

08cms汽车、房产系统都存在这个注入~
谷歌关键字用户量很大：

厂商：

http://www.08cms.com/ 08cms

SQL注入点：

/info.php?fid=1&tblprefix=cms_msession   tblprefix存在注入

就抽5个案例了:

http://www.433100fcw.com/info.php?fid=1&tblprefix=cms_msession
http://www.539f.net/info.php?fid=1&tblprefix=cms_msession
http://www.gogolz.com/info.php?fid=1&tblprefix=cms_msession
http://www.csgfw.cn/info.php?fid=1&tblprefix=cms_msession
http://www.pxmfw.com/info.php?fid=1&tblprefix=cms_msession

漏洞证明：

我就拿2个来测试了，EXP写在测试代码里面。此EXP危害巨大请不要用于非法用户，否则后果自负

1、



2、

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0110861

漏洞标题：08CMS汽车房产系统存在Mysql报错注入

相关厂商：08CMS

漏洞作者：路人甲

提交时间：2015-05-04 14:34

修复时间：2015-06-18 14:36

公开时间：2015-06-18 14:36

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：12

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0110861

漏洞标题：08CMS汽车房产系统存在Mysql报错注入

相关厂商：08CMS

漏洞作者： 路人甲

提交时间：2015-05-04 14:34

修复时间：2015-06-18 14:36

公开时间：2015-06-18 14:36

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：12

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0110861"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云