网站首页 > pcfcms大学 > pcfcms安全

阿里云主机
PCFCMS下载
点击下载

ECShop远程代码执行高危漏洞

来源:大福 发布时间:2020-07-29 09:22:44 热度:

2018年8月31日晚,阿里云云盾应急响应中心监测到有安全研究人员披露了一个ECShop全系列版本远程代码执行高危漏洞。攻击者无需登录站点等操作,直接可以利用漏洞获取服务器权限,危害严重。

CVE
披露时间
2018年8月31日 22:00:55
CVSS
危险等级
严重
漏洞特征
远程代码执行
详情
漏洞描述 ECShop的user.php文件中的display函数的模版变量可控,导致注入,配合注入可达到远程代码执行。攻击者无需登录站点等操作,直接可以利用漏洞获取服务器权限,危害严重。 危害评级 严重 影响范围 ECShop全系列版本,包括2.x,3.0.x,3.6.x等
修复建议

修改include/lib_insert.php中相关漏洞代码,将$arr[id]和$arr[num]强制转换成int型,如下:
$arr[id]=intval($arr[id])
$arr[num]=intval($arr[num])