登录  免费注册
当前位置:首页 > 热点新闻 > 正文

ECShop 2.x和3.0版本代码执行漏洞

2018-09-10 14:43:01

ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。2.x版本跟3.0版本存在代码执行漏洞。ECShop 未能对 $GLOBAL[‘_SERVER’][‘HTTP_REFERER’] 变量进行验证,导致用户可以将任意代码插入的user_passport.dwt模板中,随后insert_mod根据模板内容动态执行相应的函数,用户插入恶意代码导致模板动态执行了lib_insert下的 insert_ads 方法,通过SQL注入,返回构造的执行代码,致使后面调用cls_template模板类的fetch函数,成功执行恶意代码。

参考链接:http://www.freebuf.com/vuls/183294.html

(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论