大汉JCMS一处SQL注入漏洞

大汉JCMS站内检索处存在SQL注入

漏洞文件：/module/sitesearch/index.jsp

参数：columnid

备注：sqlmap跑时带上between插件

防灾科学院

http://**.**.**.**/module/sitesearch/index.jsp?columnid=81

嘉善建设之窗

http://**.**.**.**/module/sitesearch/index.jsp?columnid=4941

江苏交通厅

http://**.**.**.**/module/sitesearch/index.jsp?columnid=4980

江苏省地方税务局

http://**.**.**.**/module/sitesearch/index.jsp?columnid=889

苍南县公共资源交易中心

http://**.**.**.**/module/sitesearch/index.jsp?columnid=2886

还有些就不一一列举了

厂商协助修复一下吧

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-11-12 14:12

厂商回复：

此问题之前提交过，并已修复。

最新状态：

暂无

1. 2014-08-17 14:21 | 贫道来自河北 ( 普通白帽子 | Rank:1469 漏洞数:439 | 一个立志要把乌云集市变成零食店的男人)

   1

   大牛不在库带混了，到乌云来了吗

   1# 回复此人

2. 2014-08-17 18:09 | 树上草 ( 路人 | Rank:20 漏洞数:8 | <img height="12" width="12" style="verti...)

   0

   大牛不在库带混了，到乌云来了吗

   2# 回复此人

3. 2014-08-18 09:28 | U神 ( 核心白帽子 | Rank:1375 漏洞数:152 | 乌云核心菜鸟，此号处于联盟托管中....)

   0

   哎，彼此，彼此，忽略的节奏

   3# 回复此人

4. 2014-08-18 09:35 | 贫道来自河北 ( 普通白帽子 | Rank:1469 漏洞数:439 | 一个立志要把乌云集市变成零食店的男人)

   0

   哎，彼此，彼此，忽略了近50个通用了

   4# 回复此人

5. 2014-08-18 14:57 | 飞扬风 ( 普通白帽子 | Rank:528 漏洞数:129 | 追求安全，热爱技术)

   0

   哎，彼此，彼此

   5# 回复此人

6. 2014-08-21 12:33 | 光刃 ( 普通白帽子 | Rank:200 漏洞数:25 | 萝卜白菜保平安)

   0

   膜拜大牛~~

   6# 回复此人

7. 2014-08-23 17:34 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)

   0

   路过路过

   7# 回复此人

8. 2014-09-04 11:07 | wefgod ( 核心白帽子 | Rank:1829 漏洞数:183 | 力不从心)

   0

   between插件是啥

   8# 回复此人

9. 2014-09-26 00:57 | U神 ( 核心白帽子 | Rank:1375 漏洞数:152 | 乌云核心菜鸟，此号处于联盟托管中....)

   0

   @疯狗 @xsser WooYun: 大汉JCMS系统SQL注入漏洞 . 一样的注入点不一样的待遇

   9# 回复此人

10. 2014-09-26 10:30 | xsser ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)

    0

    @U神 @Finger

    10# 回复此人