[公开漏洞]中国电信旗下某站多SQL注入（跨库，数据蛮多的，我回来了）

中国电信旗下某站多SQL注入（跨库，数据蛮多的，我回来了） 相关厂商： 中国电信 漏洞作者：Mosuan 提交时间：2014-04-28 11:27 公开时间：2014-06-12 11:27 漏洞类型：SQL注射漏洞 危害等级：高 自评Rank：15 漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理 漏洞来源：http://www.wooyun.org Tags标签： php+数字类型注射 数据库账户权限过高 Mysql aspx 漏洞详情 披露状态：

2014-04-28：细节已通知厂商并且等待厂商处理中
2014-05-02：厂商已经确认，细节仅向厂商公开
2014-05-12：细节向核心白帽子及相关领域专家公开
2014-05-22：细节向普通白帽子公开
2014-06-01：细节向实习白帽子公开
2014-06-12：细节向公众公开

简要描述：

中国电信旗下某站点分站两处sql注入（跨库，数据蛮多的）

详细说明：

WooYun: 中国电信#电信某地区旗下的商城泄露上万条客户的信息（邮箱,手机号，姓名，地址等.）



这个站的分站

1.

http://vip.hn118114.cn/ProductL.aspx?T=生活日用

2.

http://jk.hn118114.cn/app_web/index.php?m=home&c=product&id=1010

能否送个极路由？



唉，好久没玩这个了，都有点生疏了，wooyun我回来了.....

漏洞证明：

看详细说明

修复方案：

过滤

版权声明：转载请注明来源 Mosuan@乌云 漏洞回应 厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2014-05-02 21:26

厂商回复：

CNVD确认并复现所述情况，转由CNCERT直接通报中国电信集团公司处置。

最新状态：

暂无