多玩YY一处未授权访问+任意上传+sql注入+存储xss

漏洞概要

缺陷编号:WooYun-2015-0126053

漏洞标题:多玩YY一处未授权访问+任意上传+sql注入+存储xss

相关厂商:广州多玩

漏洞作者:黑名单

提交时间:2015-07-11 06:56

公开时间:2015-07-16 06:58

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2015-07-11: 细节已通知厂商并且等待厂商处理中
2015-07-11: 厂商已查看当前漏洞内容,细节仅向厂商公开
2015-07-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

多玩YY一处未授权访问+任意上传+sql注入

详细说明:

多玩YY 一处未授权访问+任意上传+sql注入 客户端

漏洞证明:

http://dicebugreport.yy.com:8080//bugs/index/unsolvedYY客户端 谁是卧底 BUG反馈---------------------------未授权访问

---------------------------反馈地址 和 文件上传 客户端

---------------------------你比我懂的sql注入

---------------------------存储xss

---------------------------任意上传

---------------------------

修复方案:

你比我懂

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-07-1606:58

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

评价

  1. 2010-01-01 00:00 黑名单 白帽子 | Rank:52 漏洞数:8)

    这都忽略 我也是服了