p2p金融安全之紫枫信贷root权限注入(用户信息岌岌可危)

漏洞概要

缺陷编号:WooYun-2015-0125255

漏洞标题:p2p金融安全之紫枫信贷root权限注入(用户信息岌岌可危)

相关厂商:紫枫信贷

漏洞作者:DloveJ

提交时间:2015-07-08 11:08

公开时间:2015-08-22 11:10

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:18

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2015-07-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

p2p金融安全之紫枫信贷root权限注入(用户信息岌岌可危)

详细说明:

sqlmap

163个表,我就不跑了。展示一部分表

随便看一下其中的内容

非法的是我不敢,拒绝查水表

漏洞证明:

给高rank就可以不。

修复方案:

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)

评价

  1. 2010-01-01 00:00 0x 80 白帽子 | Rank:967 漏洞数:111)

    小伙子

  2. 2010-01-01 00:00 博远山人 白帽子 | Rank:0 漏洞数:0)

    紫枫信贷不仅仅是注入的问题