当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-044584

漏洞标题:澳门新闻署sql available databases [22] 泄露

相关厂商:澳门新闻署

漏洞作者: 雅柏菲卡

提交时间:2013-12-03 15:55

修复时间:2014-01-17 15:56

公开时间:2014-01-17 15:56

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:8

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-12-03: 细节已通知厂商并且等待厂商处理中
2013-12-07: 厂商已经确认,细节仅向厂商公开
2013-12-17: 细节向核心白帽子及相关领域专家公开
2013-12-27: 细节向普通白帽子公开
2014-01-06: 细节向实习白帽子公开
2014-01-17: 细节向公众公开

简要描述:

.....

详细说明:

...

漏洞证明:

Target: 		http://www.gcs.gov.mo/showNews.php?PageLang=C&DataUcn=74454
Host IP:		202.175.23.79
Web Server: 	Apache/2.2.3 (Red Hat)
Powered-by: 	PHP/5.1.6
DB Server: 	PostgreSQL
Resp. Time(avg):	601 ms
Current User: 	foo
Sql Version: 	PostgreSQL 8.1.18 on x86_64-redhat-linux-gnu, compiled by GCC gcc (GCC) 4.1.2 20080704 (Red Hat 4.1.2-46)
Port: 		5432
DB User: 	postgres
		operator
		ibs
		nobody
		gcs
		foo
available databases [22]:
[*] consulta
[*] postgres
[*] template0
[*] template1
[*] ugcs2004test
[*] ugcsdb
[*] ugcsdb2001
[*] ugcsdb2002
[*] ugcsdb2003
[*] ugcsdb2004
[*] ugcsdb2004test
[*] ugcsdb2005
[*] ugcsdb2005test
[*] ugcsdb2006
[*] ugcsdb2007
[*] ugcsdb2008
[*] ugcsdb2009
[*] ugcsdb2010
[*] ugcsdb2010dec
[*] ugcsdb2010test
[*] ugcsdb2011
[*] ugcsdb2012

修复方案:

...........

版权声明:转载请注明来源 雅柏菲卡@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2013-12-07 23:57

厂商回复:

最新状态:

暂无