当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-022779

漏洞标题:多个高校正方教务管理系统还存在数据库任意操作漏洞

相关厂商:cncert国家互联网应急中心

漏洞作者: wefgod

提交时间:2013-04-30 08:00

修复时间:2013-06-14 08:01

公开时间:2013-06-14 08:01

漏洞类型:系统/服务补丁不及时

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-04-30: 细节已通知厂商并且等待厂商处理中
2013-05-02: 厂商已经确认,细节仅向厂商公开
2013-05-12: 细节向核心白帽子及相关领域专家公开
2013-05-22: 细节向普通白帽子公开
2013-06-01: 细节向实习白帽子公开
2013-06-14: 细节向公众公开

简要描述:

多个高校正方教务管理系统还存在数据库任意操作漏洞

详细说明:

以下高校正方教务管理系统尚存在数据库任意操作的漏洞(211端口的那个):
1.西京学院;
2.海南师范大学;
3.温州医学院;
4.中北大学商务学院。

漏洞证明:

西京学院
http://mis.xijing.edu.cn
LCID TU U
0700008 {MD5}oyN/PhMWsqxXotsgr8J6mw== 教师 邬星辰 人文科学系 否 {MD5}oyN/PhMWsqxXotsgr8J6mw==
PU U
cwc2 {MD5}FnkJHFqID69vteYIfrGy3A== 财务处 王美玲 财务处 F 否 {MD5}FnkJHFqID69vteYIfrGy3A==
PU U
cwc3 {MD5}GqACGjZj7wxOPfja36ynMQ== 系统管理员 李勃玲 财务处 F 否 {MD5}GqACGjZj7wxOPfja36ynMQ==
U
cwxs2 {MD5}ZwsUcorZkCrsujLiL6T2vQ== 财务学生 王婷婷 财务处 F 1 1 否 {MD5}4QrcOUm6Wau+VuBX8g+IPg==
Q

image001.png


海南师范大学
http://210.37.0.53/
LCID
TUUU
24051 RV|CIC 教师 宋春晖 信息科学技术学院
TUUU
24052 W]vDLG 教师 徐冬 信息科学技术学院
DUUU
24053 $ppleZ^ 教师 蒋文娟 信息科学技术学院 蒋文娟
TUUU

image003.png


温州医学院
http://61.153.27.181:83/
LCID
TUUU
4707 YqES 教师 王晓明 外校
TUUU
4708 YqJS 教师 徐晨阳 检验医学与生命科学学院
TUUU
4709 YqKS 教师 薄金双 检验医学与生命科学学院
TUUU
4710 YqBR 教师 聂小博 检验医学与生命科学学院
TUUU
4711 YqCR 教师 吴庆 检验医学与生命科学学院
TU U

image005.png


中北大学商务学院
http://202.207.177.47/
LCID
TUUU
0100007mmm IBS_u(\]C@ 教师 李琳瑞 体育与艺术系
TUUU
1140086mmm IBW_t(\]BH 教师 马莉芳 体育与艺术系
TUUU
1140087mmm IBW_t(\]CH 教师 赵亚娜 体育与艺术系
TUUU

image007.png

修复方案:

211端口不对外,且对通信进行加密处理(打补丁应该可以)。

版权声明:转载请注明来源 wefgod@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-05-02 21:59

厂商回复:

CNVD确认漏洞情况,同时确认为通用漏洞衍生事件型漏洞,由于未与涉事单位建立紧密联系,转联系软件生产厂商,由软件生产厂商联系用户进行处置。
rank 10

最新状态:

暂无