链家旗下自如主站sql注入漏洞

漏洞概要

缺陷编号:WooYun-2015-0130706

漏洞标题:链家旗下自如主站sql注入漏洞

相关厂商:ziroom.com

漏洞作者:路人甲

提交时间:2015-07-31 15:36

公开时间:2015-08-05 15:38

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2015-07-31: 细节已通知厂商并且等待厂商处理中
2015-07-31: 厂商已查看当前漏洞内容,细节仅向厂商公开
2015-08-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

链家旗下,自如主站存在sql注入

详细说明:

自如(Ziroom)是链家集团旗下提供高品质的租住产品与服务的互联网租房O2O第一品牌,旗下拥有针对业主与客户的资益+、自如·友家、自如·寓三大产品线,其所有房源均经过专业设计,实施统一时尚装修、原创家居及品牌家电配置等,同时提供租期内的租客保险、双周保洁、专业维修及搬家等多项品质服务,在行业首家推出“三天不满意,全额退款”服务承诺。存在问题的urlhttp://www.ziroom.com/ziroomer/activity/?category_id=11

我这网不好,比较慢,就先不深入了。

漏洞证明:

自如(Ziroom)是链家集团旗下提供高品质的租住产品与服务的互联网租房O2O第一品牌,旗下拥有针对业主与客户的资益+、自如·友家、自如·寓三大产品线,其所有房源均经过专业设计,实施统一时尚装修、原创家居及品牌家电配置等,同时提供租期内的租客保险、双周保洁、专业维修及搬家等多项品质服务,在行业首家推出“三天不满意,全额退款”服务承诺。存在问题的urlhttp://www.ziroom.com/ziroomer/activity/?category_id=11

我这网不好,比较慢,就先不深入了。

修复方案:

你们专业

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-08-0515:38

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

评价

  1. 2010-01-01 00:00 木惘然 白帽子 | Rank:22 漏洞数:5)

    四月就发现了 不知道是不是一个 忘提交了这厂商不给力 不如直接给链接主站