当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2014-087925
漏洞标题:
蓝科cms某版本建站系统存在多处SQL注射
相关厂商:
lankecms.com
漏洞作者:
小骇
提交时间:
2014-12-23 18:05
修复时间:
2015-04-02 10:23
公开时间:
2015-04-02 10:23
漏洞类型:
SQL注射漏洞
危害等级:
自评Rank:
1
漏洞状态:
漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2014-12-23: 细节已通知厂商并且等待厂商处理中
2014-12-23: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-02-16: 细节向核心白帽子及相关领域专家公开
2015-02-26: 细节向普通白帽子公开
2015-03-08: 细节向实习白帽子公开
2015-04-02: 细节向公众公开

简要描述:

蓝科cms某版本建站系统存在多处SQL注射

详细说明:

蓝科cms某版本建站系统存在多处SQL注射。
蓝科企业网站管理系统中英繁版V1.1==蓝科cms 官方网站:http://www.lankecms.com

QQ图片20141220103838.jpg


在eShowNews.asp showcases.asp ShowNews.asp showshop.asp 中均存在SQL注射,

QQ图片20141220101929.png


可关键字:inurl:eshownews.asp?id= inurl:showshop.asp

QQ图片20141220103307.jpg

QQ图片20141220103459.jpg


大量案例:
http://www.ampixel.com/eshownews.asp?id=61
http://ampixel.com/eshownews.asp?id=62
http://www.up-real.com/eshownews.asp?id=106
http://www.trendtronic.com.cn/eshownews.asp?id=65
http://www.jeffhouse.net/eshownews.asp?id=103
还有其他注入点...
http://www.sdrunzhou.com/showcases.asp?id=60
http://www.planning.org.cn/news/shownews.asp?id=471
http://www.ttlg.com/shownews.asp?id=895
http://www.asmcs.com/shownews.asp?id=492
http://www.3dxchina.com/shownews.asp?id=100
http://www.up-real.com/showshop.asp?id=72
http://www.jdart.cn/showshop.asp?id=169
http://www.ospchina.com/showshop.asp?id=63
证明在下面,可注入出用户密码。

漏洞证明:

证明如下:
http://www.maplevisa.com/eshownews.asp?id=68

QQ图片20141220104653.jpg


http://www.sdrunzhou.com/showcases.asp?id=60

QQ图片20141220104754.jpg


http://www.jdart.cn/showshop.asp?id=169

QQ图片20141220105252.jpg


修复方案:

。。。。

版权声明:转载请注明来源 小骇@乌云

>

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-04-02 10:23

厂商回复:

请不要购买已过时的版本或盗版源码。

最新状态:

暂无