漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-022994
漏洞标题:Webshop开源商城存在多个SQL注入漏洞
相关厂商:Webshop
漏洞作者: 苦味思
提交时间:2013-05-03 11:29
修复时间:2013-06-17 11:30
公开时间:2013-06-17 11:30
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-05-03: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-06-17: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
工作需要,要进行漏洞演示,网上随便找找,发现webshop看起来不错,于是下载测试,果然漏洞很多,各种各样的漏洞都有很方便演示:)
Webshop官网 http://www.web13800.cn/ 号称有13000多用户,2012版提供开源版本,是专注中小企业及个人的电子商务平台。
该网站系统(多个版本中)存在多处SQL注入漏洞。
详细说明:
在chinaz上下载的5.1版,查看源代码,发现多处SQL注入漏洞(117处)
部分如下:
如根目录show_all.asp
48至63行
该系统的若干文件中均存在SQL注入,同一文件中有些存在多处SQL注入。
漏洞证明:
自己试吧。
漏洞利用跟所使用的数据库有关,该系统默认使用access数据库。
修复方案:
请教google老师吧。
版权声明:转载请注明来源 苦味思@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝