2014-05-05:细节已通知厂商并且等待厂商处理中
2014-05-09:厂商已经确认,细节仅向厂商公开
2014-05-19:细节向核心白帽子及相关领域专家公开
2014-05-29:细节向普通白帽子公开
2014-06-08:细节向实习白帽子公开
2014-06-19:细节向公众公开
#1.吉林省长春长信华天科技有限公司为该省建设的多个网站存在同一SQL注入,影响到一些政府网。
第一个注入:
缺陷文件:modals.jsp
注入参数:aid
http://www.cctraffic.com.cn/modals.jsp?bid=27&aid=1694 长春市交通运输局
http://cczfbz.changchun.gov.cn/modal.jsp?aid=12141 长春住房保障网
http://221.8.13.176/modal.jsp?aid=7 长春双拥信息网
http://www.cccyzgw.gov.cn/modal.jsp?aid=961 长春朝阳组工网
http://221.8.38.134/zhujian/modal.jsp?aid=39640 农安县住房和城乡建设局工程建设领域项目信息和信用信息公开专栏
http://www.ccsjzglz.cn/modal.jsp?aid=317 长春市救助管理站
http://www.jlnanx.com/modal.jsp?aid=749 农安县农村信用联社
http://www.jlsnsxh.com/modal.jsp?aid=27 吉林省农业节水和农村供水协会
http://www.ccjks.com/model.jsp?id=620&aid=45 长春市教育科学研究所
http://221.8.38.134/nasg/modal.jsp?aid=8364 农安县烧锅镇人民政府网站
http://www.ccfwy.gov.cn/ztyj/index.jsp 长春服务业信息网
长春住房保障网
长春市救助管理站【root权限】
第二个注入(上面的也存在这些页面):
缺陷文件:zlm.jsp
注入参数:zlm_bid
http://www.jl-oled.com/zlm.jsp?zlm_bid=14&parent_id=14&tp=2 吉林奥来德光电材料股份有限公司
http://najsj.gov.cn/anjian/zlm.jsp?zlm_bid=585 农安县安监局
http://36.48.70.38:81/webhouse/web/zlm.jsp?zlm_bid=57 长春房地产业信息网
吉林奥来德光电材料股份有限公司【root权限】
修复方案:
版权声明:转载请注明来源 Huc-Unis@乌云 漏洞回应 厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-05-09 23:52
厂商回复:CNVD确认并复现所述情况,根据测试实例情况,已经转由CNCERT下发给吉林分中心处置。按通用软件漏洞进行评分,rank 20
最新状态:暂无