漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2012-11-23: 细节已通知厂商并且等待厂商处理中
2012-11-23: 厂商已经确认,细节仅向厂商公开
2012-12-03: 细节向核心白帽子及相关领域专家公开
2012-12-13: 细节向普通白帽子公开
2012-12-23: 细节向实习白帽子公开
2013-01-07: 细节向公众公开
简要描述:
本人听说易迅买东西,早上买下午到,想感受一下速度。谁知,我买了东西,2天后,客服给我打电话,说4没货了天后送到,下单时候怎么标记有货随时可发呢?现在过了一个星期了,没人理我了,还是未发货,这就证明了一句话,女人都是骗子,客服妹子更是骗子。之后,我又在物品那咨询留言,问“为何1周了还不发货”,谁知,发一条,删一条,这让本人着实不能忍受,回答下你是能死?。你敢删我留言,我就盲打你,这次真心无法忍受。
详细说明:
1.
字段没过滤,直接XSS你。
今天你不修复,明天我就等你的session,进去挖洞。
2.登陆注入
ProxyRoleModules','ProxyPermissions','Users','UserRoles','Session','Sequences','Roles','RoleModule','RolePermission','Permissions','Organizations','Modules','Applications','Menus','Departments','ProxyRoles
你的表。
漏洞证明:
'admin','system','卜广齐','林敏','张廷兵','李杨','江巍','王培','张倩','刘祥军','唐阿平','翟潇','卜广俊','浩方','沈雍','孙军','黄大东','刘觅
不知道是群什么人。
’139189‘,'222222','stone828','00000'
懒得列密码。弱爆了
修复方案:
让客服道歉!!!!!
版权声明:转载请注明来源 Viigoss@乌云
>
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2012-11-23 12:40
厂商回复:
非常感谢您的报告。这个问题我们已经确认,正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。
最新状态:
暂无