漏洞概要
关注数(24)
关注此漏洞
漏洞标题:IT应用网某站SQL注入已getshell
提交时间:2015-10-19 12:59
修复时间:2015-12-03 13:00
公开时间:2015-12-03 13:00
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2015-10-19: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-03: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
IT应用网,是国内专业的企业级IT应用的信息服务商,面向数百万的企业级行业受众提供专业的信息化资讯。数年来,IT应用网与国内外的IT厂商展开了各类深度合作,涵盖行业应用、行业动态信息、行业沙龙(包括沙龙视频和技术沙龙文档等)、电子周刊、活动促销信息、厂商白皮书和产品资讯等,另有项目工程和持续的厂商专题推广服务等推广内容。
详细说明:
id参数可注入
DBA权限而且还是MSSQL的,可以利用xp_cmdshell拿shell
漏洞证明:
修复方案:
漏洞回应