漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-074641
漏洞标题:万户OA某文件未授权访问导致SQL注入(N个政府单位中枪)
相关厂商:万户网络
漏洞作者: 鬼魅羊羔
提交时间:2014-09-01 17:11
修复时间:2014-11-30 17:12
公开时间:2014-11-30 17:12
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-09-01: 细节已通知厂商并且等待厂商处理中
2014-09-06: 厂商已经确认,细节仅向厂商公开
2014-09-09: 细节向第三方安全合作伙伴开放
2014-10-31: 细节向核心白帽子及相关领域专家公开
2014-11-10: 细节向普通白帽子公开
2014-11-20: 细节向实习白帽子公开
2014-11-30: 细节向公众公开
简要描述:
万户OA某文件未授权访问导致通用型注入,无需登录,涉及多个政府网站、及大型企业。对万户官网195个政府企业OA中,挑了几个做了次测试,大部分都有问题,有些是内网,有些没找到端口,我弄不了。。就没有测试。。
详细说明:
万户OA某版本未授权访问导致通用型注入,涉及多个政府网站、及大型企业。
该文件 defaultroot/mobile/setting/setPersonInfo.jsp没有做任何限制,无需登录,可直接访问,该文件参数未做功率,导致SQL注入,详情看图吧。。
有很多网站的OA都是内网的,我测不了,找了几个外网的,做了测试,都存在问题。
该例子中只例举普陀市中心医院,有一部分是客户,不方便直接发,自行测试吧。
漏洞证明:
普陀市中心医院
http://www.sptdch.cn:7001/defaultroot/mobile/setting/setPersonInfo.jsp
该文件无需登录,可直接访问
defaultroot/mobile/setting/setPersonInfo.jsp
该页面某些参数都做了隐藏,删除隐藏属性。。直接填写内容
而且,该页面未对setpers_UserAccounts、setpers_EmpEnglishName、setpers_EmpMobilePhone等参数做过滤,导致SQL注入
剩下的不截图了。。。自行测试吧。。
修复方案:
常规修复而已,你们懂~
版权声明:转载请注明来源 鬼魅羊羔@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:17
确认时间:2014-09-06 09:46
厂商回复:
最新状态:
暂无