漏洞概要
关注数(24)
关注此漏洞
漏洞标题:前海股权交易中心SQL注入(400多名员工信息泄露)
提交时间:2015-09-08 11:29
修复时间:2015-10-23 11:30
公开时间:2015-10-23 11:30
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2015-09-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-23: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
前海股权交易中心是根据国务院关于大力发展场外资本市场的统一布局、证监会为了拓展多层次资本市场而特许设立的、地方政府监管的新型交易所。
前海股权交易中心(深圳)有限公司(简称:前海股权交易中心)是广东省区域性股权交易市场的核心组织机构,注册资本5.55亿元。中心在股东结构上引入国内三家顶级证券公司——中信证券、国信证券、安信证券。
详细说明:
前海股权交易中心 主站 如下链接存在SQL注入,其中,orderField参数有问题。
漏洞证明:
泄露12个库
以qianhaidb库为例,发现324个表
以qianhaidb库、account表为例,泄露400多名内部员工的敏感信息,包括总经理的,如:姓名、手机、邮箱、部门、职称
其他的表不继续了
修复方案:
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)