近期,国家信息安全漏洞共享平台(CNVD)收录了广东天拓资讯科技有限公司(简称天拓公司)旗下产品网赢企业网络营销平台(简称网赢平台)存在的SQL注入漏洞(CNVD-2011-06050)。攻击者可以利用漏洞发起远程攻击,取得网站管理操作权限,甚至获得网站服务器主机管理权限。相关情况通报如下:
一、漏洞情况分析
网赢平台是由广东天拓公司生产的网站内容管理系统,开发语言为php。目前发现存在SQL注入漏洞的页面有topic.php,页面中对附加环境变量channelID未进行安全过滤,可以利用来发起SQL注入攻击,直接获得网站管理员权限,进而通过上传网页后门文件的方式取得网站服务器主机的控制权。
二、漏洞影响范围
CNVD对该漏洞的综合评级为“高危”。
根据天拓公司官方网站公布的客户列表(参见附件),该产品用户包括国内保险、证券、银行、民航、家电、体育、消费品、电子商务等行业知名企业。
三、漏洞处置建议
CNVD于6月28日联系了天拓公司,但该公司未做出积极回应,未能按CNVD处置流程要求提供技术细节,也未能明确漏洞修补时间以及如何做好客户应急服务的计划。CNVD建议应对措施如下:
(一)建议相关用户自行联系天拓公司,要求其针对漏洞情况提供临时解决方案;
(二)相关用户也可以自行对网站进行web常规漏洞的检测,及时发现存在的安全隐患,对存在SQL注入漏洞的URL进行参数过滤。
CNVD将持续跟踪漏洞处置情况,如需技术支援,请联系CNVD。联系电话:010-82990286,邮箱:vreport@cert.org.cn,网站: www.cnvd.org.cn。