漏洞概要
关注数(24)
关注此漏洞
漏洞标题:uki有喜网站存在多处SQL注入以及ajax接口存在注入(DBA权限)
提交时间:2015-11-08 20:53
修复时间:2015-12-23 20:54
公开时间:2015-12-23 20:54
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:15
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2015-11-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-23: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
十月妈咪旗下的一个网站,同样存在多个参数注入,以及ajax接口文件存在注入,似乎还没有什么人气!~~~
详细说明:
http://www.ukimami.com/classroom-uki.php?page=21&item=15
item存在注入
http://www.ukimami.com/product.php?m=product_list&category=10
category存在注入
www.ukimami.com/ajax_product.php?tid=364|10&time=0.7562016532756388
tid存在注入
依旧是断断续续,时而连上时而断线,就不继续了!~~~
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应