漏洞概要 关注数(24) 关注此漏洞
缺陷编号:
漏洞标题:
亚汇网某系统存在SQL注入漏洞(泄露部分投资者的详细信息)
相关厂商:
漏洞作者:
提交时间:
2015-04-05 14:52
修复时间:
2015-05-20 14:54
公开时间:
2015-05-20 14:54
漏洞类型:
后台弱口令
危害等级:
高
自评Rank:
15
漏洞状态:
未联系到厂商或者厂商积极忽略
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系
[email protected]
Tags标签:
>
漏洞详情
披露状态:
2015-04-05: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-05-20: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
亚汇网(www.yahui.cc)是上海一拍信息科技有限公司旗下最权威最专业的财经媒体,提供海内外高端金融资讯,紧跟全球经济,锁定外汇黄金投资领域,为广大的投资者提供丰富全面的投资资讯和指导。以权威信息为基础,是众多金融投资者重点关注的网站之一。
亚汇网拥有稳定的用户群,这些都是长期积累而成,幵非短期市场炒作而形成的流动用户。因此非常稳定,潜在影响力极大。亚汇网绝大部分用户年龄在20-45岁之间,高学历群体比重很大,遍布在广州、北京、上海、武汉、成都、重庆、深圳等大城市,属于收入高于中等水平,具有很强的消费能力及高端金融产品投资能力。
详细说明:
亚汇网市场部内部管理系统:http://tools.yahui.cc/
存在SQL注入,用户名使用admin' or '1'='1 密码随意,即可登录
漏洞证明:
亚汇网市场部内部管理系统:http://tools.yahui.cc/
存在SQL注入,用户名使用admin' or '1'='1 密码随意,即可登录
修复方案:
修复SQL注入
版权声明:转载请注明来源 机器猫@乌云
>
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)