步步高某站多处注入(用户信息泄露及管理员密码)

漏洞概要

缺陷编号:WooYun-2015-096961

漏洞标题:步步高某站多处注入(用户信息泄露及管理员密码)

相关厂商:步步高

漏洞作者:千斤拨四两

提交时间:2015-02-16 22:25

公开时间:2015-04-02 22:26

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2015-02-16: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-02: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

存在多处sql注入点及敏感目录。

详细说明:

post注入点提交数据http头:

论坛一样存在注入漏洞,floor强制报错语句:

存在敏感目录

漏洞证明:

管理员账户密码:

用户信息:

敏感信息暴漏:

修复方案:

漏洞太多,慢慢修补吧。

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

评价