彩虹易支付存在的严重SQL注入漏洞正在被滥用
彩虹易支付存在的严重SQL注入漏洞正在被滥用
根据TG群组和Loc (https://hostloc.com/thread-1284026-1-1.html)的消息,彩虹易支付程序上存在的漏洞可被利用来修改订单的支付状态,该程序被广泛用于发卡平台。
有黑客正通过 Telegram 机器人将利用该漏洞的攻击简易化、自动化,该机器人可被普通用户使用,黑客还为此开通了“付费会员”订阅功能。
黑客称,漏洞存在于易支付/码支付官方早期版本和衍生的二开版本,包括源支付的全部版本,零度码支付早期版本。(更新增加段落)
支付程序的开发商据信已了解漏洞的存在,正在修复。但由于该程序的安装网站不会立即更新到最新版本,黑客工具依然在许多情况下有效。
[消息等级 Level C2 · 简要]