VULHUB ™

### 简要描述： 前几天提交的漏洞http://www.wooyun.org/bugs/wooyun-2012-08484，被忽略，想想觉得没意思，可能这是废弃的用友应用，今天有看了看下载的代码，里面的数据库链接虽然已经失效，不过看代码发现了SQL注入漏洞，可以爆库，里面10几万用户数据，就算废弃的应用也不能这样不管不顾用户的个人信息安全 ### 详细说明： 目录遍历漏洞已经报了 [WooYun: 用友俱乐部目录遍历至源文件打包下载](http://www.wooyun.org/bugs/wooyun-2012-08484) ，这个算续集， 注入点：http://tclub.ufida.com.cn/adduser/chkuuid.asp?uuid=1 里面的表一大堆，太多，懒得看了，只看了下用户信息记录 141662，软件厂商服务系统，怎么会这么多注册用户啊，就算好多是马甲也有些离谱，不管真假，还行希望厂商认真管理，不用及时删除。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201206/252248265d20a3a59ad60b9a60936873b8030177.jpg" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/252248265d20a3a59ad60b9a60936873b8030177.jpg)

### 简要描述： 前几天提交的漏洞http://www.wooyun.org/bugs/wooyun-2012-08484，被忽略，想想觉得没意思，可能这是废弃的用友应用，今天有看了看下载的代码，里面的数据库链接虽然已经失效，不过看代码发现了SQL注入漏洞，可以爆库，里面10几万用户数据，就算废弃的应用也不能这样不管不顾用户的个人信息安全 ### 详细说明： 目录遍历漏洞已经报了 [WooYun: 用友俱乐部目录遍历至源文件打包下载](http://www.wooyun.org/bugs/wooyun-2012-08484) ，这个算续集， 注入点：http://tclub.ufida.com.cn/adduser/chkuuid.asp?uuid=1 里面的表一大堆，太多，懒得看了，只看了下用户信息记录 141662，软件厂商服务系统，怎么会这么多注册用户啊，就算好多是马甲也有些离谱，不管真假，还行希望厂商认真管理，不用及时删除。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201206/252248265d20a3a59ad60b9a60936873b8030177.jpg" alt="" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201206/252248265d20a3a59ad60b9a60936873b8030177.jpg)