近期，国家信息安全漏洞共享平台（CNVD）收录了广东天拓资讯科技有限公司（简称天拓公司）旗下产品网赢企业网络营销平台（简称网赢平台）存在的SQL注入漏洞（CNVD-2011-06050）。攻击者可以利用漏洞发起远程攻击，取得网站管理操作权限，甚至获得网站服务器主机管理权限。相关情况通报如下： 

一、漏洞情况分析 

网赢平台是由广东天拓公司生产的网站内容管理系统，开发语言为php。目前发现存在SQL注入漏洞的页面有topic.php，页面中对附加环境变量channelID未进行安全过滤，可以利用来发起SQL注入攻击，直接获得网站管理员权限，进而通过上传网页后门文件的方式取得网站服务器主机的控制权。 

二、漏洞影响范围 

CNVD对该漏洞的综合评级为“高危”。 

根据天拓公司官方网站公布的客户列表(参见附件)，该产品用户包括国内保险、证券、银行、民航、家电、体育、消费品、电子商务等行业知名企业。 

三、漏洞处置建议 

CNVD于6月28日联系了天拓公司，但该公司未做出积极回应，未能按CNVD处置流程要求提供技术细节，也未能明确漏洞修补时间以及如何做好客户应急服务的计划。CNVD建议应对措施如下： 

（一）建议相关用户自行联系天拓公司，要求其针对漏洞情况提供临时解决方案； 

（二）相关用户也可以自行对网站进行web常规漏洞的检测，及时发现存在的安全隐患，对存在SQL注入漏洞的URL进行参数过滤。