当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-077445

漏洞标题:某通用型建站系统两处SQL注射漏洞(附众多案例)

相关厂商:深圳市金锐网络技术有限公司

漏洞作者: bitcoin

提交时间:2014-09-27 20:20

修复时间:2014-12-26 20:22

公开时间:2014-12-26 20:22

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-27: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-12-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某通用型建站系统两处SQL注射漏洞(附众多案例)

详细说明:

深圳市金锐网络技术有限公司 http://www.szjrwl.com/
第一处,注入参数class
谷歌搜索
inurl:product.asp?class= 技术支持:金锐网络
http://www.dongli-robot.com/product.asp?class=53&classname=%BB%FA%C6%F7%C8%CB%B4%FA%C0%ED%C5%E4%CC%D7%BC%B0%BC%BC%CA%F5%D6%A7%B3%D6

dong c.jpg


其他注入案例
http://www.szhaolong.net/cn/product.asp?class=27&classname=%B2%BB%D0%E2%B8%D6%B6%DB%BB%AF%CF%B5%C1%D0
http://www.kexingsz.com.cn/product.asp?class=2&classname=+%B5%AF%BB%C9%CE%E5%BD%F0%CA%D4%D1%E9%BB%FA
http://www.lulinternational.com/tw/product.asp?class=223&classname=IGBT+DC1200V
http://www.hyilight.com/product.asp?class=7&classname=LED%20%C2%B7%20%B5%C6
http://www.coko-tech.com/cn/product.asp?class=79&classname=MICRO5PIN%C4%B8%D7%F9%D7%AA%BD%D3%CD%B7
http://www.honghengmp.com/cn/product.asp?class=9&classname=%B1%AD%B5%E6/%B4%C5%D0%D4%B1%F9%CF%E4%CC%F9
http://www.spdl68.com/product.asp?class=3&classname=%B1%DA%B9%D2%B5%E7%D4%B4%CF%B5%CD%B3&mn_id=6374
http://www.szbianse.com/cn/product.asp?class=21&classname=%D2%B9%B9%E2%B2%FA%C6%B7%D5%B9%CA%BE
http://baisen.hk-web-2.szjrwl.com/cn/product.asp?class=29&key=&price1=&price2=&classname=%CC%EC%BB%A8%B5%C6&page=3&section=1
http://www.cf-dz.com/product.asp?class=14&classname=VIMICRO%D6%D0%D0%C7%CE%A2
第二处,注入参数id
谷歌搜索
inurl:productshow.asp?id= 技术支持:金锐网络
http://www.coko-tech.com/cn/productshow.asp?id=112

coko.jpg


其他注入案例
http://www.kexingsz.com.cn/productshow.asp?id=407&mnid=6364&classname=+%CA%B3%C6%B7%C0%E0&uppage=
http://www.dongli-robot.com/productshow.asp?id=131&mnid=6361&classname=%BB%FA%C6%F7%C8%CB%B4%FA%C0%ED%C5%E4%CC%D7%BC%B0%BC%BC%CA%F5%D6%A7%B3%D6
http://www.lulinternational.com/tw/productshow.asp?id=127
http://www.honghengmp.com/cn/productshow.asp?id=298
http://www.hyilight.com/productshow.asp?id=27&mnid=4869&classname=LED%CD%B6%B9%E2%B5%C6&uppage=product.asp
http://www.spdl68.com/productshow.asp?id=67&mnid=6363&classname=%D6%D0%D1%EB%D0%C5%BA%C5%C6%C1
http://www.bjwj88.com/productshow.asp?id=3&mnid=4869&classname=%BA%CF%D2%B3&uppage=product.asp
http://www.szbianse.com/cn/productshow.asp?id=38
http://www.cf-dz.com/productshow.asp?id=121

漏洞证明:

如上

修复方案:

过滤

版权声明:转载请注明来源 bitcoin@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝