[公开漏洞]新浪分站存在CGI POST SQL注入漏洞

新浪分站存在CGI POST SQL注入漏洞相关厂商：新浪漏洞作者：Hotler0o 提交时间：2014-06-03 12:06 公开时间：2014-07-18 12:07 漏洞类型：SQL注射漏洞危害等级：高自评Rank：10 漏洞状态：厂商已经确认漏洞来源：http://www.wooyun.org Tags标签：无漏洞详情披露状态：

2014-06-03：细节已通知厂商并且等待厂商处理中
2014-06-03：厂商已经确认，细节仅向厂商公开
2014-06-13：细节向核心白帽子及相关领域专家公开
2014-06-23：细节向普通白帽子公开
2014-07-03：细节向实习白帽子公开
2014-07-18：细节向公众公开

简要描述：

新浪分站存在SQL注入

详细说明：

http://finance.sina.com.hk/cgi-bin/forex/calculate.cgi

POST

input_amount=88952634&to_currency=2&from_currency=1

参数to_currency注射

漏洞证明：

修复方案：

过滤参数。

漏洞回应 厂商回应： 危害等级：中 漏洞Rank：6 确认时间：2014-06-03 18:17 厂商回复： 感谢关注新浪安全，马上联系相应的开发人员进行修复处理 最新状态： 暂无

漏洞回应厂商回应：
危害等级：中

漏洞Rank：6

确认时间：2014-06-03 18:17
厂商回复：
感谢关注新浪安全，马上联系相应的开发人员进行修复处理
最新状态：
暂无