当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0106707

漏洞标题:某地铁工程实时管理系统SQL注入(涉及北京、天津地铁施工)

相关厂商:互联网应急中心

漏洞作者: 咸鱼翻身

提交时间:2015-04-10 15:32

修复时间:2015-05-29 18:18

公开时间:2015-05-29 18:18

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-10: 细节已通知厂商并且等待厂商处理中
2015-04-14: 厂商已经确认,细节仅向厂商公开
2015-04-24: 细节向核心白帽子及相关领域专家公开
2015-05-04: 细节向普通白帽子公开
2015-05-14: 细节向实习白帽子公开
2015-05-29: 细节向公众公开

简要描述:

( ´▽` )

详细说明:

根据城市地铁盾构隧道工程建设管理的实际需求,中国矿业大学(北京)力学与建筑工程学院从2003年开始进行“盾构施工实时管 理系统”的相关基础研发工作,并与北京轨道交通建设管理公司等相关单位进行了紧密的研发合作。2007年“盾构施工实时管理系 统”研究工作获得了北京市科委的重大科技计划项目课题立项(北京市重大科技计划项目《北京地铁工程建设安全风险控制及信息 化管理平台的研究与应用》,项目编号:D08050600390000)。2011年7月,《北京地铁工程建设安全风险控制及信息化管理平台的 研究与应用》研究项目通过了北京市科委组织的研究项目成果鉴定验收,并荣获2011年度北京市科学技术奖一等奖,“盾构施工实 时管理系统”是该获奖项目的重要组成部分。
施工进度管理界面
1)实时形象地显示工程进度,清晰显示盾构区间各级风险源的影响区域,实现风险预告、风险提醒,方便用户掌控区间整体风险分 布状况,明确管控重点。
2)形象地显示盾构生产过程中的各项参数,管理者可实现对盾构施工过程的远程实时监控,对保障盾构机穿越重要工程风险源区域 施工过程中的安全性,最大限度地降低施工安全风险具有重要意义。
3)对盾构施工过程中的全部数据可以进行各种条件下的查找、统计和分析,并给出相应的可视化图形。
4)以时间段的形式对盾构施工过程中的材料消耗、功效、推进环数和里程等参数数据进行统计和查询,并以报表的形式输出。
5)可以上传、下载测点沉降数据,支持对单沉降点、多沉降点的累计沉降量和沉降速率曲线进行查询,并以报表的形式的输出。
6)可管理用户账户,对其进行权限设置

漏洞证明:

北京盾构系统 http://118.144.35.101/
天津盾构系统 http://111.30.45.125/

S50408-221253.jpg


S50408-221333.jpg


S50408-221745.jpg

修复方案:

加强过滤

版权声明:转载请注明来源 咸鱼翻身@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-04-14 18:17

厂商回复:

CNVD确认并复现所述情况,已经由CNVD通过网站公开联系方式向网站管理单位及分中心通报。

最新状态:

暂无