漏洞概要
关注数(24)
关注此漏洞
漏洞标题:立白旗下某品牌网站存在SQL注入漏洞(涉及多个数据库)
提交时间:2016-02-20 08:08
修复时间:2016-02-25 08:10
公开时间:2016-02-25 08:10
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2016-02-20: 细节已通知厂商并且等待厂商处理中
2016-02-25: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
立白旗下某品牌网站存在SQL注入漏洞(涉及多个数据库)
详细说明:
高姿化妆品有限公司具有20多年的发展历史,是中国日化行业知名的化妆品企业。
公司以其稳定的产品质量获得了广大消费者的信赖和好评。2006年公司与立白集团进行了资产重组,在激烈竞争的化妆品市场诞生了上海新高姿化妆品有限公司。
漏洞URL:http://www.cogi.cn/pcat.php?pcat=1 (GET)
立白旗下高资网站存在SQL注入漏洞(涉及多个数据库)
涉及多个数据库
高资会员账号信息近2万条
可读取/etc/passwd文件
漏洞证明:
多个数据库用户密码可读取
数据库root用户密码可通过cmd5获取
修复方案:
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2016-02-25 08:10
厂商回复:
漏洞Rank:4 (WooYun评价)
最新状态:
暂无