某省食品药品监督管理局存在SQL注射 | wooyun-2015-0150795| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0150795

漏洞标题：某省食品药品监督管理局存在SQL注射

漏洞作者：路人甲

提交时间：2015-11-01 23:39

修复时间：2015-12-20 14:22

公开时间：2015-12-20 14:22

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-11-01：细节已通知厂商并且等待厂商处理中
2015-11-05：厂商已经确认，细节仅向厂商公开
2015-11-15：细节向核心白帽子及相关领域专家公开
2015-11-25：细节向普通白帽子公开
2015-12-05：细节向实习白帽子公开
2015-12-20：细节向公众公开

简要描述：

详细说明：

江西省食品药品监督管理局
**.**.**.**/browfaqs.asp?id=60621

available databases [7]:
[*] jxda
[*] master
[*] model
[*] msdb
[*] Northwind
[*] pubs
[*] tempdb

漏洞证明：

back-end DBMS: Microsoft SQL Server 2000
Database: jxda
[75 tables]
+----------------------+
| ENTERPRISE_INFO      |
| GSP_info             |
| GSP_info_log         |
| Licence_info         |
| PHAM_INFO            |
| QUERYAJ_GMP          |
| QUERYAJ_HOSP         |
| QUERYAJ_PHARMFL      |
| QUERYAJ_PRODUCE      |
| QUERYBH_COSM_LIC     |
| QUERYBH_HFOOD_GMP    |
| QUERYBH_HFOOD_LIC    |
| QUERYMARKETGSP       |
| QUERYPACKREG         |
| QUERYPHARMREG        |
| QUERYQX_COMMERCE     |
| QUERYQX_PRODUCE      |
| QUERYQX_REGISTER     |
| QUERYYS_CONTINUEEDU  |
| QUERYYS_PHARMACIST   |
| QUERYYS_PHARMSALE    |
| lic_ypls#ttjb        |
| browpagenum          |
| cs_admininfo         |
| cs_kc                |
| cs_news              |
| cs_xx                |
| cs_yjsinfo           |
| cs_yjsxk             |
| device_info          |
| device_info_backup   |
| device_info_jyfw     |
| device_jyfw_dict     |
| device_spfw_dict     |
| dtproperties         |
| gcyp                 |
| gmp                  |
| gsp                  |
| guestbook            |
| indexflash           |
| indeximage           |
| jxdausers            |
| lic_admininfo        |
| lic_arch             |
| lic_city             |
| lic_info             |
| lic_info_log         |
| lic_info_mod_log     |
| lic_info_new         |
| lic_info_new_advice  |
| lic_member           |
| lic_member_log       |
| lic_xkbyplsqyyftjb   |
| lic_yplsqyxse_yxjsry |
| lic_yplsqyzstjb      |
| lic_zxyplsqyyftjb    |
| pbcatcol             |
| pbcatedt             |
| pbcatfmt             |
| pbcattbl             |
| pbcatvld             |
| record               |
| record_food          |
| record_read          |
| sysconstraints       |
| syssegments          |
| visit                |
| vote                 |
| voteip               |
| ypgg                 |
| ypjyqy               |
| ypscqy               |
| zcys_pass            |
| zybhyp               |
| zyyszc               |
+----------------------+

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2015-11-05 14:21

厂商回复：

CNVD确认并复现所述漏洞情况，已经转由CNCERT下发对应分中心，由其后续协调网站管理单位处置。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0150795

漏洞标题：某省食品药品监督管理局存在SQL注射

相关厂商：cncert国家互联网应急中心

漏洞作者：路人甲

提交时间：2015-11-01 23:39

修复时间：2015-12-20 14:22

公开时间：2015-12-20 14:22

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0150795

漏洞标题：某省食品药品监督管理局存在SQL注射

相关厂商：cncert国家互联网应急中心

漏洞作者： 路人甲

提交时间：2015-11-01 23:39

修复时间：2015-12-20 14:22

公开时间：2015-12-20 14:22

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0150795"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云