当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0100837

漏洞标题:某市公共安全系统SQL注入+XSS导致办公后台沦陷(泄露内部人员信息,户口/身份证扫描件等)

相关厂商:某市公共安全系统

漏洞作者: 袋鼠妈妈

提交时间:2015-03-12 08:30

修复时间:2015-04-26 08:32

公开时间:2015-04-26 08:32

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(公安部一所)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-12: 细节已通知厂商并且等待厂商处理中
2015-03-12: 厂商已经确认,细节仅向厂商公开
2015-03-22: 细节向核心白帽子及相关领域专家公开
2015-04-01: 细节向普通白帽子公开
2015-04-11: 细节向实习白帽子公开
2015-04-26: 细节向公众公开

简要描述:

某市公共安全系统SQL注入+XSS导致办公后台沦陷(泄露内部人员信息,户口/身份证扫描件等)

详细说明:

mask 区域
*****tp://www.yc*****
*****7d3f62f80f7a979ca0885e.png*****
1.://**.**.**//www.ycpolice.com/index.php/Index/shownews/ID/7651</code>_
*****t;/upload/201503/120057131c4d3701ed29fd7fead596902008017a.png&qu*****
***** PHP 5.3.27, M*****
*****: MySQL*****
***** ycpo*****
*****abl*****
*****-----*****
*****ut *****
*****ions *****
*****ress *****
*****in *****
*****heck *****
*****pozy *****
*****disfz*****
*****dopen*****
*****nshib*****
*****jinsi*****
*****pany *****
*****plain*****
*****fig *****
*****stabl*****
*****tomer*****
*****inhd *****
*****artme*****
*****ip *****
*****dman *****
*****gaodj*****
*****ews *****
*****ewscl*****
*****decla*****
*****inxi *****
*****ao *****
*****yan *****
*****s *****
*****ber *****
*****sage *****
*****ar *****
*****s *****
*****e *****
*****tos *****
*****uzhao*****
*****onsid*****
*****zheng*****
*****e *****
*****wask *****
*****gesti*****
*****r *****
*****rguid*****
*****disfz*****
*****glait*****
*****serve*****
*****serve*****
*****serve*****
*****serve*****
*****serve*****
*****serve*****
*****serve*****
*****serve*****
*****serve*****
*****zhenf*****
*****huo *****
*****-----*****
*****de&g*****
*****8a67a6afe36540e024c24b.png*****
*****^^息),随^*****
*****ca1a6fe14ad64f0fd0512e.png*****
*****漏信*****
*****^+联^*****
*****c7a056aaaedff784abcf00.png*****
*****^^份证^*****
*****t; /><img src="/upload/201503/120127128c6*****
*****港澳地区申请审批表^*****
*****2203145af0ae483490de383a1a7fa.png" alt="9.png" /><img src*****
*****-身份证*****
*****ot; /><img src="/upload/201503/12014430f5*****
*****(普通管^*****
*****ot; /><img src="/upload/201503/1201412089*****
*****存在XSS*****
2.://**.**.**//www.ycpolice.com/index.php/Liuyan/xingfang</code>_
*****cc85f6a40114b076c87427110317b7.png" alt="xss2.png" /><img *****

漏洞证明:

mask 区域
*****ca1a6fe14ad64f0fd0512e.png*****

修复方案:

版权声明:转载请注明来源 袋鼠妈妈@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2015-03-12 16:20

厂商回复:

验证确认存在所描述的问题,已通知其修改。

最新状态:

暂无