来伊份官网各种漏洞

漏洞概要

缺陷编号:WooYun-2012-06447

漏洞标题:来伊份官网各种漏洞

相关厂商:来伊份

漏洞作者:赵小布

提交时间:2012-04-27 14:12

公开时间:2012-06-11 14:13

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:11

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2012-04-27: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-06-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

来伊份的蜜饯有问题,网站也有各种问题。你妹啊,常买你们的东西吃的,贵就算了,还拿这种垃圾蜜饯来卖。可以帮你们在网站挂封道歉信吗?????

详细说明:

各种注入,目录遍历,后台,FCKeditor编辑器。http://www.lyfen.com/?id=10328 注入http://www.lyfen.com/lib/ http://www.lyfen.com/demo/ 目录遍历http://www.lyfen.com/phpMyAdmin/ phpMyAdmin登陆http://www.lyfen.com/lib/FCKeditor/editor/filemanager/browser/default/browser.html FCKeditor编辑器

漏洞证明:

修复方案:

百度,Google,各种方法。

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:10 (WooYun评价)

评价

  1. 2010-01-01 00:00 p.z 白帽子 | Rank:327 漏洞数:40)

    挂封道歉信吧

  2. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    去挂一个吧。到时候帮wooyun打打广告。

  3. 2010-01-01 00:00 Litteryi 白帽子 | Rank:6 漏洞数:3)

    我也比较赞成挂上

    wooyun就火了。…………

  4. 2010-01-01 00:00 leehenwu 白帽子 | Rank:194 漏洞数:24)

  5. 2010-01-01 00:00 popok 白帽子 | Rank:82 漏洞数:19)

    不赞成改别人的主页,不管别人在某方面做的对不对.

  6. 2010-01-01 00:00 z@cx 白帽子 | Rank:323 漏洞数:37)

    干,我也打算这样干的。。。

  7. 2010-01-01 00:00 冬冬 白帽子 | Rank:45 漏洞数:11)

    @popok 可以不挂主页的嘛~~~