漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-090212
漏洞标题:某通用型系统SQL注射漏洞
相关厂商:小小网上报名系统
漏洞作者: 小骇
提交时间:2015-01-08 18:07
修复时间:2015-04-13 16:58
公开时间:2015-04-13 16:58
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:11
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-01-08: 细节已通知厂商并且等待厂商处理中
2015-01-13: 厂商已经确认,细节仅向厂商公开
2015-01-16: 细节向第三方安全合作伙伴开放
2015-03-09: 细节向核心白帽子及相关领域专家公开
2015-03-19: 细节向普通白帽子公开
2015-03-29: 细节向实习白帽子公开
2015-04-13: 细节向公众公开
简要描述:
某通用型系统SQL注射漏洞
详细说明:
某通用型系统SQL注射漏洞。
系统为小小网上报名系统,(小小网上报名系统!目前版本使用于 电脑学校(院),技术学校(院),全日制中高等学校(院),培训班等专业技能学校(院)!)
可谷歌搜索:
20个案例:
http://www.njgyjx.com/bm/sm.asp?id=64
http://wwww.ahtvu.ah.cn/wlxy/bm/sm.asp?id=68
http://www.jmjx.com/ybm/sm.asp?id=18
http://zszx.pili-zz.net/online/sm.asp?id=89
http://open.wztvu.com/bm/sm.asp?id=114
http://www.dylbpx.com/bm/sm.asp?id=45
http://www.ylzzz.cn/vote/bin/sm.asp?id=2
http://www.mylyxx.com/wsbm/2/sm.asp?id=4
http://blog.xjhrxx.com/bm/sm.asp?id=7
http://www.sjzjx.cn/bm/sm.asp?id=45
http://www.ahysly.com/bm/sm.asp?id=11
http://www.hanpop.com.cn/xzjdc/sm.asp?id=27
http://www.jdwlxy.cn/nig/bm/sm.asp?id=5
http://www.fsda.com.cn/sm.asp?id=6
http://baoming.gdzsbs.com/sm.asp?id=391
http://www.kaiyuan.cc/bao/sm.asp?id=8
http://www.abc61.com/coming/enter/sm.asp?id=1
http://www.yeetex.com/sm.asp?id=2117
http://www.szsf.com/baoming/sm.asp?id=63
http://www.xjpx.org/wsbm/sm.asp?id=96
http://www.dalicx.net/bm/sm.asp?id=5
http://www.gdmzyx.com/wsbm/sm.asp?id=58
http://www.sumei.cn/sm.asp?id=14
漏洞证明:
均可注入出用户密码。
证明如下:
http://www.njgyjx.com/bm/sm.asp?id=64
http://wwww.ahtvu.ah.cn/wlxy/bm/sm.asp?id=68
http://www.jmjx.com/ybm/sm.asp?id=18
http://zszx.pili-zz.net/online/sm.asp?id=89
http://open.wztvu.com/bm/sm.asp?id=114
可进后台:
修复方案:
,,,,,
版权声明:转载请注明来源 小骇@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:16
确认时间:2015-01-13 14:01
厂商回复:
CNVD确认所述漏洞情况,暂未建立与软件生产厂商的直接处置渠道,待认领。
最新状态:
暂无