漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0135012
漏洞标题:Euse TMS存在多处DBA权限SQL注入
相关厂商:成都益用科技有限公司
漏洞作者: 路人甲
提交时间:2015-08-20 17:25
修复时间:2015-11-19 18:42
公开时间:2015-11-19 18:42
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-08-20: 细节已通知厂商并且等待厂商处理中
2015-08-21: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-08-24: 细节向第三方安全合作伙伴开放
2015-10-15: 细节向核心白帽子及相关领域专家公开
2015-10-25: 细节向普通白帽子公开
2015-11-04: 细节向实习白帽子公开
2015-11-19: 细节向公众公开
简要描述:
用户量还算蛮多
详细说明:
总共14处注入点,全部打包,不分开提交了,最后一次打包了;与乌云现有记录无重复。
厂商:
成都益用科技有限公司是集软件研发、产品销售、技术服务于一体的专业IT机构。益用立足于高科技领域前沿,并结合广阔的市场需求,积极吸收国内外先进的管理理念和经营模式,在企业信息化建设、电子商务发展、电子政务完善、3G业务领域保持着高速发展。同时与国际知名品牌IT厂商保持着紧密的合作伙关系,不断致力于为企业客户提供高质量的IT产品。
产品:
益用在线培训系统(Euse training management system ,Euse TMS)融合了现代网络技术、多媒体技术、现代培训e-learning教育管理理念,对教育培训流程进行科学规划,课程资源统筹配置,建立基于网络信息化、数字化的学习型组织-----政府(企业)网络大学将成为教育培训工作的主流形式,并将网络教育培训推向低成本、高效率和专业化的发展方向;它是全员培训、终身学习的基础,是实现人力资源战略的重
GET:
POST:[禁Javascript测试]
Case:
漏洞证明:
Security Testing:
十四处测试,随机案例测试,仅测试证明。
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:14
确认时间:2015-08-21 18:41
厂商回复:
CNVD确认所述情况,已经转由CNCERT下发给四川分中心,由其后续协调网站管理单位处置。
最新状态:
暂无