当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0140595

漏洞标题:薇诺娜网上商城网站存在SQL注入(30多万订单泄漏)

相关厂商:薇诺娜网上商城

漏洞作者: 八神

提交时间:2015-09-13 10:39

修复时间:2015-10-28 10:40

公开时间:2015-10-28 10:40

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-13: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某护肤化妆品官方网站30多万订单泄漏

详细说明:

薇诺娜官方www.winona.cn
存在post注入 http://www.winona.cn/article-weishijie-l-21.html
POST article_search=88952634
后台地址http://www.winona.cn/shopadmin/index.php
sdb_pam_account用户表 采用时间 注册时间加密成的cmd密码
编辑 38 shopadmin 邹菥 s2e13d959838cbca8eb68f1398889818 false 1374388843
编辑 36 shopadmin 杨成 sc55fc0c40d0a158554ed541c034a348 false 1374388707
编辑 37 shopadmin 杨小燕 s21eecf264e08822e368bbdbc3a12d1c false 1374388809
编辑 35 shopadmin 庞勤 s273d42e3f589359dac091a79c348034 false 1374388586
编辑 33 shopadmin 何黎 sbcd680cb218f991925bb862752503b2 false 1374388111
编辑 32498 shopadmin yangjingchang@winona.cn sde86353a92cd72ac9d7274dee8308a7 false 1441165716
编辑 32500 shopadmin wenjiangfang@winona.cn sd71dec0114fd703278d4eb5d5f8b871 false 1441165806
编辑 32495 shopadmin wangxiaoqin@winona.cn scc0c5b850c48c18b2b766b14db5caae false 1441165610
编辑 32514 shopadmin prettyservice sf623308ac3ecc06473b0417239ce45b false 1441173702
编辑 32499 shopadmin lifuxiang@winona.cn scb9774f8c2665d5b484caf6766b99a8 false 1441165761
编辑 32497 shopadmin chenxiaojuan@winona.cn s476e270db453eba7b784b8aa25117e7 false 1441165666
编辑 1 shopadmin admin s4df7640ae39abafefffa285ac332925 false 1375349366
编辑 32237 shopadmin 13800013000 s0c1e7d7865e1a03b5a01c9574ba32f9

漏洞证明:

2.png


10.png


33.png

修复方案:

修复呗 修复两次了吧 还是没有修复成功...
把代码修改修改!!

版权声明:转载请注明来源 八神@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)