近期,国家信息安全漏洞共享平台(CNVD)收录了广州市图派科技有限公司(简称图派公司)kingtop网站内容管理系统(简称kingtop软件)存在的SQL注入漏洞(CNVD-2011-06052)。攻击者可以利用漏洞发起远程攻击,取得网站管理员口令,并通过后台管理界面执行网站管理操作权限。相关情况通报如下:
一、漏洞情况分析
Kingtop软件是由图派公司生产的用于搭建企业级网站的CMS软件(即内容管理系统)。目前CNVD在测试实例中发现存在SQL注入漏洞的页面中包含一个环境变量MenuID(或为Menuno)。由于对该变量未进行安全过滤,可以利用来发起SQL注入攻击,获得后台数据库敏感信息,包括系统管理员账号密码。通过查找后台管理页面webmanage/Login.aspx,得到网站的管理操作权限。
二、漏洞影响范围
CNVD对该漏洞的综合评级为“高危”。
根据图派公司官方网站公布的客户列表(参见附件),该产品用户包括境内外多个政府部门、高等院校以及保险、证券、民航地产、电信、家电、电子商务、消费品零售等行业的中央企业及其他知名企业。
三、漏洞处置建议
CNVD于6月28日联系了图派公司,但该公司未做出积极回应,未能按CNVD处置流程要求提供技术细节,也未能明确漏洞修补时间以及如何做好客户应急服务的计划。CNVD建议应对措施如下:
(一)建议相关用户自行联系图派公司,要求其针对漏洞情况提供临时解决方案;
(二)相关用户也可以自行对网站进行web常规漏洞的检测,及时发现存在的安全隐患,对存在SQL注入漏洞的URL进行参数过滤。同时,对后台管理地址进行访问控制,禁止外部IP或用户访问。
CNVD将持续跟踪漏洞处置情况,如需技术支援,请联系CNVD。联系电话:010-82990286,邮箱:vreport@cert.org.cn,网站: www.cnvd.org.cn。
附件:图派公司kingtop网站内容管理系统部分客户列表
(来源:http://www.toprand.com/case/caseList_3.htm )