近期,国家信息安全漏洞共享平台(CNVD)收录了广州市万户网络科技有限公司(简称万户公司)ezEIP 2.0网站内容管理系统(简称ezEIP2.0软件)存在的SQL注入漏洞(CNVD-2011-06105)。攻击者可以利用漏洞发起远程攻击,取得网站管理员口令,并通过后台管理界面执行网站管理操作权限。相关情况通报如下:
一、漏洞情况分析
ezEIP 2.0软件是由万户公司生产的用于搭建企业级网站的CMS软件(即内容管理系统)。目前CNVD在测试实例中发现其动态页面对相关附加环境变量均未进行严格过滤,可以利用发起SQL注入攻击,获得后台数据库敏感信息,包括系统管理员账号密码。在测试实例中可通过查找后台管理页面system/Login.aspx,登录后得到网站的管理操作权限。
二、漏洞影响范围
CNVD对该漏洞的综合评级为“高危”。
根据万户公司官方网站公布的客户列表(参见附件),该产品用户包括境内外多个政府部门、中央企业及相关行业知名企业。
三、漏洞处置建议
CNVD于7月8日联系了万户公司,但该公司未做出积极回应,未能明确漏洞修补以及做好客户应急服务的计划。CNVD建议应对措施如下:
(一)建议相关用户自行联系万户公司,要求其针对漏洞情况提供临时解决方案;
(二)相关用户也可以自行对网站进行web常规漏洞的检测,及时发现存在的安全隐患,对存在SQL注入漏洞的URL进行参数过滤。同时,对后台管理地址进行访问控制,禁止外部IP或用户访问。
CNVD将持续跟踪漏洞处置情况,如需技术支援,请联系CNVD。联系电话:010-82990286,邮箱:vreport@cert.org.cn,网站: www.cnvd.org.cn。
附件:万户公司部分客户列表
(来源:http://www.wanhu.com.cn/sitecn/WanHuKeHu/index.html )