当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023354

漏洞标题:易想团购(easethink)sql注入漏洞

相关厂商:易想团购

漏洞作者: lxsec

提交时间:2013-05-09 12:20

修复时间:2013-08-07 12:20

公开时间:2013-08-07 12:20

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-08-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

意想团购存在sql注入漏洞

详细说明:

./subscribe.php这个页面存在问题
其中除了$_REQUEST['act']=='mail'选项未添加页面发送信息外,其余选项都拼接了用户发送信息。
属于post表单信息。

漏洞证明:

elseif($_REQUEST['act']=='unsubscribe')
{
	$email_code = trim($_REQUEST['code']);  //只去掉了两端预定义字符
	$email = base64_decode($email_code);   //简单的base64_decode编码 之后就带入了语句
	if($GLOBALS['db']->getOne("select count(*) from ".DB_PREFIX."mail_list where mail_address='".$email."'")==0)
	{
		showErr($GLOBALS['lang']['MAIL_NOT_EXIST'],0,APP_ROOT);
	}
	else
	{
		send_unsubscribe_mail($email);
		showSuccess($GLOBALS['lang']['MAIL_UNSUBSCRIBE_VERIFY'],0,APP_ROOT);
	}
	
}
elseif($_REQUEST['act']=='dounsubscribe')
{
	$email_code = trim($_REQUEST['code']); //和以上一样的错误
	$email_code =  base64_decode($email_code);
	$arr = explode("|",$email_code);
	$GLOBALS['db']->query("delete from ".DB_PREFIX."mail_list where code = '".$arr[0]."' and mail_address = '".$arr[1]."'");
	$rs = $GLOBALS['db']->affected_rows();
	if($rs)
	{
		showSuccess($GLOBALS['lang']['MAIL_UNSUBSCRIBE_SUCCESS'],0,APP_ROOT);
	}
	else
	{
		showErr($GLOBALS['lang']['MAIL_UNSUBSCRIBE_FAILED'],0,APP_ROOT);
	}
}


可以看到用户输入很简单的带入了sql语句中,不过最终结果并未直接显示在页面上。还是靠页面返回信息来判断语句执行是否成功

修复方案:

过滤关键字
老生常谈了!

版权声明:转载请注明来源 lxsec@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝