WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-010560

漏洞标题：好孩子sql注射漏洞，root权限致多台服务敏感信息泄露等。

相关厂商：好孩子育儿网

漏洞作者： zeracker

提交时间：2012-08-04 17:41

修复时间：2012-09-18 17:41

公开时间：2012-09-18 17:41

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签： 无

4人收藏 收藏

分享漏洞：

漏洞详情

披露状态：

2012-08-04： 细节已通知厂商并且等待厂商处理中
2012-08-05： 厂商已经确认，细节仅向厂商公开
2012-08-15： 细节向核心白帽子及相关领域专家公开
2012-08-25： 细节向普通白帽子公开
2012-09-04： 细节向实习白帽子公开
2012-09-18： 细节向公众公开

简要描述：

某注射漏洞，没想到又是root权限。
结果测试，发现各种服务器基本都是清一色的统一口令。
还是考虑到各种奶爸们要在你们网站注册，能做一点算一点了。

详细说明：

http://www.goodbaby.com/tips/food/food.php?id=3701‘

执行：( Select * from VC_Food where id=3701 select form vc_food where id =3701 ) 时错误，错误提示：You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'select form vc_food where id =3701' at line 1

漏洞证明：

修复方案：

版权声明：转载请注明来源 zeracker@乌云

漏洞回应