当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0188350

漏洞标题:某地区cms通用注入(涉及巨量的中小企业教育机构etc)

相关厂商:百硕网络

漏洞作者: webhe4d

提交时间:2016-03-24 13:17

修复时间:2016-05-08 13:17

公开时间:2016-05-08 13:17

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-08: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

百硕网络某cms注入一枚。(义务大量的企业教育机构)

详细说明:

谷歌之:

QQ图片20160323213032.png


intext:技术支持:百硕网络 inurl:news_list.asp?id=


问题出在
news_list.asp
参数是id
涉及大量中小企业
---------案例-----------
http://**.**.**.**/news_list.asp?id=70
**.**.**.**/news_list.asp?id=233
**.**.**.**/news_list.asp?id=21
**.**.**.**/news_list.asp?id=27
**.**.**.**/news_list.asp?id=12
**.**.**.**/cn/news_list.asp?id=13
**.**.**.**/news_list.asp?id=63
**.**.**.**/news_list.asp?id=24
**.**.**.**/news_list.asp?id=63
**.**.**.**/news_list.asp?id=65
有大量的企业教育机构等。

漏洞证明:

注入证明:

QQ图片20160323221011.png


还有好多不一一注入了。
公司证明(列举部分网页)太多了:

QQ图片20160323215006.png


QQ图片20160323215036.png


QQ图片20160323215106.png


QQ图片20160323215135.png


QQ图片20160323215332.png


QQ图片20160323215407.png


QQ图片20160323215439.png


QQ图片20160323215513.png

修复方案:

过滤。

版权声明:转载请注明来源 webhe4d@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)