WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0171790

漏洞标题：阿基米德SQL注入大量用户数据泄露(涉及百万用数据含密码)

相关厂商：阿基米德

漏洞作者： 小龙

提交时间：2016-01-22 13:20

修复时间：2016-03-08 21:29

公开时间：2016-03-08 21:29

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签： 无

4人收藏 收藏

分享漏洞：

漏洞详情

披露状态：

2016-01-22： 细节已通知厂商并且等待厂商处理中
2016-01-26： 厂商已经确认，细节仅向厂商公开
2016-02-05： 细节向核心白帽子及相关领域专家公开
2016-02-15： 细节向普通白帽子公开
2016-02-25： 细节向实习白帽子公开
2016-03-08： 细节向公众公开

简要描述：

随时随地都可收听，这里是火花碰撞的电台节目汇集地； 精准分类广播节目，你最爱的广播节目想听就听； 汇聚全国电台节目及优秀广播主持人，24h与主持人零距离对话； 超高人气的节目社区，最具趣味的社交平台。摆脱寂寞空虚冷的fm，让你秒变高大上！ [爆棚的节目社区] 音乐早餐、东方风云榜、强强三人组、海阳现场秀、股市大家谈、叶文有话要说、今夜私语时、市民政务通-直通990、飞鱼秀、英语300句...... 最受热捧的电台节目，我们为你一网打尽。 [高冷派的交友神器] 不必为你太另类而烦恼，发帖回帖互动找朋友，主持人、节目组为你提供专业解答，阿基米德fm节目社区帮你找到咬合力最强的那一半齿轮。 新闻、音乐、娱乐、股市、交通、维权、情感、学习、养生，总有你的那一档广播节目！ [想你所想的福利帖] 食、宿、行、游、购、娱......全方位搜罗广播电台带给你的礼物。 好电影抢不到票？美食排不上队？周末去玩想免单？快来阿基米德fm节目社区！[1]

详细说明：

Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1' in /data/ajmide_server/service/ZhuantiService.php:90 Stack trace: #0 /data/ajmide_server/service/ZhuantiService.php(90): PDOStatement->execute() #1 /data/ajmide_server/com.ajmide.a/get_zhuanti_html.php(20): ZhuantiService->getHtmlZhuanti('95'') #2 {main} thrown in /data/ajmide_server/service/ZhuantiService.php on line 90

漏洞证明：

修复方案：

版权声明：转载请注明来源 小龙@乌云

漏洞回应