欢迎光临
我们一直在努力

【网络安全】ECShop远程代码执行高危漏洞报警及修复方案

推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

ECShop 简介:

ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序,目前最新版本为ECShop 4.0;

漏洞描述:
2018年8月31日晚,阿里云云盾应急响应中心监测到有安全研究人员披露了一个ECShop全系列版本远程代码执行高危漏洞。攻击者无需登录站点等操作,直接可以利用漏洞获取服务器权限,危害严重。
ECShop的user.php文件中的display函数的模版变量可控,导致注入,配合注入可达到远程代码执行。攻击者无需登录站点等操作,直接可以利用漏洞获取服务器权限,危害严重。

危害评级:严重
影响范围:ECShop全系列版本,包括2.x,3.0.x,3.6.x等

解决方案:

修改include/lib_insert.php中相关漏洞代码,将$arr[id]和$arr[num]强制转换成int型,如下:
$arr[id]=intval($arr[id])
$arr[num]=intval($arr[num])

赞(0) 打赏
未经允许不得转载:IT俱乐部 | 学习俱乐部 » 【网络安全】ECShop远程代码执行高危漏洞报警及修复方案
腾讯云国际顶级CA机构SSL证书8.8折,云解析买一年最高送半年!
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳等常见问题

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

免费分享阿里云&腾讯云优惠券,阿里云&腾讯云代金券领取,阿里云服务器ecs租用、阿里云服务器购买。领取本站阿里云优惠券可购买限时2折服务器,并返现20%费用。

阿里优惠直购腾讯优惠直购

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏