[公开漏洞]越南辐射和核安全局(VARANS)网站SQL注射漏洞已限制关键词

来源：WooYun　浏览：784次　时间：2014-07-16

做网站找雨过天晴工作室

越南辐射和核安全局(VARANS)网站SQL注射漏洞已限制关键词相关厂商：越南辐射和核安全局(VARANS) 漏洞作者：路人甲提交时间：2014-06-01 16:17 公开时间：2014-07-16 16:18 漏洞类型：SQL注射漏洞危害等级：高自评Rank：10 漏洞状态：已交由第三方厂商(cncert国家互联网应急中心)处理漏洞来源：http://www.wooyun.org Tags标签：数据库账户权限过高漏洞详情披露状态：

2014-06-01：细节已通知厂商并且等待厂商处理中
2014-06-06：厂商已经确认，细节仅向厂商公开
2014-06-16：细节向核心白帽子及相关领域专家公开
2014-06-26：细节向普通白帽子公开
2014-07-06：细节向实习白帽子公开
2014-07-16：细节向公众公开

简要描述：

越南辐射和核安全局(VARANS)网站SQL注射漏洞已获得web服务器权限，可内网渗透

详细说明：

$DZL_(LI]8KUM{A3K_62P{VK.jpg$

注入点

}MW1[S8CW3Y7}3BZ{PK8J$M.jpg

权限

U8E2{[7`PCW0OVT)M`P)WKQ.jpg

`R3[L_80V[%(X6~4DVAV}RN.jpg

5K{DO](Q9}FHJ@C9FZGJK2E.jpg

拒绝跨国大牛勿喷

漏洞证明：

$DZL_(LI]8KUM{A3K_62P{VK.jpg$

注入点

}MW1[S8CW3Y7}3BZ{PK8J$M.jpg

权限

U8E2{[7`PCW0OVT)M`P)WKQ.jpg

`R3[L_80V[%(X6~4DVAV}RN.jpg

5K{DO](Q9}FHJ@C9FZGJK2E.jpg

拒绝跨国大牛勿喷

修复方案：

$DZL_(LI]8KUM{A3K_62P{VK.jpg$

注入点

}MW1[S8CW3Y7}3BZ{PK8J$M.jpg

权限

U8E2{[7`PCW0OVT)M`P)WKQ.jpg

`R3[L_80V[%(X6~4DVAV}RN.jpg

5K{DO](Q9}FHJ@C9FZGJK2E.jpg

拒绝跨国大牛勿喷

版权声明：转载请注明来源路人甲@乌云

漏洞回应厂商回应：
危害等级：高

漏洞Rank：11

确认时间：2014-06-06 10:37
厂商回复：
感谢白帽子后续的详情提供，CNVD已确认并复现所述情况，近日将通过东盟国家CERT工作平台转报给越南CERT。
最新状态：
暂无

上一篇： [公开漏洞]汽车之家信息泄露所带来的多处高危安全风险
下一篇： [公开漏洞]中兴某设备任意文件下载