漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0141308
漏洞标题:爱票客门票/酒店预订系统最后2处SQL注入
相关厂商:广州自我游网络科技有限公司
漏洞作者: 路人甲
提交时间:2015-10-07 09:09
修复时间:2015-11-21 09:10
公开时间:2015-11-21 09:10
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-11-21: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
其实这个订票插件还是很多人用的。
最后两处,没有了~
详细说明:
北京乐乐酷科技发展有限公司开发的;该漏洞可能导致订票用户的身份信息敏感信息泄露。
注意了:其实审核员会觉得这个漏洞有重复,但是其实根本不是同一个系统,此次提交的系统与: http://**.**.**.**/bugs/wooyun-2015-0103197、http://**.**.**.**/bugs/wooyun-2015-0122495上述白帽子提交的是旅游门户建站系统,专门用于建站、提供各种功能等。而本次提交的是专门的订票系统类似一款插件形式,单一的站点。并且案例均不一样!
其它白帽子提交的建站门户系统:
爱票客门票预订系统:
关键字也是不一样的、
Case:(案例也不一样)
漏洞证明:
Security Testing:
本页的漏洞详情主要由乌云转交Cncert、CNVD通报厂商处理,非教唆利用方式,请勿仿照此漏洞恶意攻击入侵站点行为,由此造成的后果,本漏洞提交者概不负责。
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝