深圳市有信网络技术有限公司某站多处SQL注入泄漏海量用户信息涉及33个数据库2246个表

漏洞概要

缺陷编号:WooYun-2015-0122086

漏洞标题:深圳市有信网络技术有限公司某站多处SQL注入泄漏海量用户信息涉及33个数据库2246个表

相关厂商:uxin.com

漏洞作者:Ysql404

提交时间:2015-06-24 10:40

公开时间:2015-08-08 10:50

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-06-24: 细节已通知厂商并且等待厂商处理中
2015-06-24: 厂商已经确认,细节仅向厂商公开
2015-07-04: 细节向核心白帽子及相关领域专家公开
2015-07-14: 细节向普通白帽子公开
2015-07-24: 细节向实习白帽子公开
2015-08-08: 细节向公众公开

简要描述:

有信免费电话是有信网络技术有限公司于2012年3月正式上线的一款核心级主推应用产品,上线伊始便在全球进行通信线路布局,迄今已有8000万全球用户体验了有信的高清免费通话与社交分享功能。目前,有信以40%的第一市场占有率,成为免费电话行业的翘楚。

详细说明:

有信电话主站多处伪静态 SQL注入:1、http://www.uxin.com/update/show/os/android/Id/274.html2、http://www.uxin.com/news/index/type/1.html3、http://www.uxin.com/news/info/id/1277.html涉及33个数据库2246个表