ECShop 远程代码执行高危漏洞

2018-09-01 服务器
  • 文章介绍
漏洞描述:
 
ECShop的user.php文件中的display函数的模版变量可控,导致注入,配合注入可达到远程代码执行。攻击者无需登录站点等操作,直接可以利用漏洞获取服务器权限,危害严重。
 
 
漏洞评级:
严重
 
 
影响范围:
ECShop全系列版本,包括2.x,3.0.x,3.6.x等
 
 
安全建议:
 
1、修改include/lib_insert.php中相关漏洞代码,将$arr[id]和$arr[num]强制转换成int型,如下示例:
$arr[id]=intval($arr[id])
$arr[num]=intval($arr[num])

专业的织梦模板定制下载站,在线购买后即可下载!

商业源码

跟版网模板,累计帮助5000+客户企业成功建站,为草根创业提供助力!

立刻开启你的建站之旅
QQ在线客服

服务热线

织梦建站咨询