DoNews新闻门户存在SQL注入密码泄漏可拖库

漏洞概要

缺陷编号:WooYun-2013-017926

漏洞标题:DoNews新闻门户存在SQL注入密码泄漏可拖库

相关厂商:DoNews-IT门户

漏洞作者:lyen

提交时间:2013-01-26 17:29

公开时间:2013-03-12 17:30

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2013-01-26: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-03-12: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

DoNews某程序存在SQL注入、物理路径暴露,MYSQL密码泄漏,管理员帐号密码泄漏、以及大量主站和分站数据库数据暴露,可拖库!DoNews一直以来还算安全谨慎,不过这个漏洞已经存在好长一段时间了,前阵子发现发Email告知此安全问题,但是一直没有修复。DoNews是我喜欢的网站之一,因此只能发到这里,希望得到官方的重视,并尽快修复!

详细说明:

1、存在数字型注入  网址:http://**.**.**.**/ruwei_vote.php?id=1'  危害:MYSQL密码泄漏、管理员帐号密码泄漏、主站和分站数据库数据泄漏可拖库2、同时暴露了物理绝对路径,可能导致入侵挂马;

漏洞证明:

数据演示:

MYSQL密码:

目前我就操作到这里,没有继续下去,相信凭以上信息,即可危及DoNews整站安全。希望贵站重视并尽快修复。

修复方案:

1、尽快修复分站http://**.**.**.**/ 程序SQL注入漏洞。2、建议各分站使用独立权限的mysql帐号,导致其中一个出现安全漏洞,危及整站。

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

评价