当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-077151

漏洞标题:某建站系统多个通用sql注入漏洞(涉及大量企业网站)

相关厂商:cncert国家互联网应急中心

漏洞作者: Janice

提交时间:2014-09-24 13:56

修复时间:2014-12-23 13:58

公开时间:2014-12-23 13:58

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-24: 细节已通知厂商并且等待厂商处理中
2014-09-28: 厂商已经确认,细节仅向厂商公开
2014-10-01: 细节向第三方安全合作伙伴开放
2014-11-22: 细节向核心白帽子及相关领域专家公开
2014-12-02: 细节向普通白帽子公开
2014-12-12: 细节向实习白帽子公开
2014-12-23: 细节向公众公开

简要描述:

某建站系统多个通用sql注入漏洞(涉及大量企业网站)

详细说明:

google搜索关键词
inurl:Pro_shcn.asp?ArticleID=
你会发现搜索结果重复的域名很少,真实使用量挺大,不弄虚作假
多个注入点,打包提交吧:
Pro_shcn.asp?ArticleID=
Pro_shen.asp?ArticleID=
Product_cn.asp?BigClassName=
Product_en.asp?BigClassName=
....
例子:
http://www.jhhoek.com/Pro_shcn.asp?ArticleID=1

1.jpg

漏洞证明:

以下均是有效案例,太多了,收集不过来了,确定是同一套程序
inurl:Pro_shcn.asp?ArticleID=
http://www.jhhoek.com/Pro_shcn.asp?ArticleID=1
http://www.mz-bk.com/Pro_shcn.asp?ArticleID=732
http://www.jechsafety.com/Pro_shcn.asp?ArticleID=414
http://www.peacetime.cc/Pro_shcn.asp?ArticleID=427
http://www.emehobby.com/Pro_shcn.asp?ArticleID=265
http://www.discbrake.cn/pro_shcn.asp?ArticleID=89
http://www.jfsj.com/Pro_shcn.asp?ArticleID=384
http://www.zjqiantian.com/Pro_shcn.asp?ArticleID=261
http://www.zjlxbsd.com/Pro_shcn.asp?ArticleID=76
http://www.zjljj.com/Pro_shcn.asp?ArticleID=445
http://www.lsj3d.com/pro_shcn.asp?ArticleID=25
http://www.zjfek.com/Pro_shcn.asp?ArticleID=232
http://www.cnjsl.com/Pro_shcn.asp?ArticleID=210
http://www.zjjhpt.com/Pro_shcn.asp?ArticleID=7
http://www.jiaomeier.com/Pro_shcn.asp?ArticleID=74
http://www.cnjhprint.com/Pro_shcn.asp?ArticleID=32
http://www.jhhengfei.com/Pro_shcn.asp?ArticleID=141
http://www.chinasaintsnow.com/pro_shcn.asp?ArticleID=246
http://www.ali8888.com/Pro_shcn.asp?ArticleID=2236
http://www.zjkenmaide.com/Pro_shcn.asp?ArticleID=81
http://www.zjjhyalun.com/Pro_shcn.asp?ArticleID=7
http://www.zjushine.com/Pro_shcn.asp?ArticleID=361
......

修复方案:

传达,修复

版权声明:转载请注明来源 Janice@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-09-28 10:06

厂商回复:

最新状态:

暂无