|
受影響系統(tǒng): phpShop phpShop 0.6.1-b 詳細(xì)描述: phpShop是一款基于PHP的電子商務(wù)程序,可方便的擴(kuò)展WEB功能。phpShop存在多個(gè)安全問題,遠(yuǎn)程攻擊者可以利用這些漏洞攻擊數(shù)據(jù)庫,獲得敏感信息,執(zhí)行任意腳本代碼。 具體問題如下: 1、SQL注入漏洞: 當(dāng)更新會話時(shí)存在一個(gè)SQL注入問題,可以對"page"變量提交惡意SQL命令而修改原有SQL邏輯,同樣對"product_id"和"offset"變量進(jìn)行注入也存在同樣問題。 2、用戶信息泄露漏洞: 通過查詢"account/shipto"模塊,可獲得大量客戶信息。如果用戶以合法帳戶登錄,也可能查看管理員信息。這些信息包括客戶的地址,公司名等等信息。 3、跨站腳本執(zhí)行攻擊: 多個(gè)參數(shù)對用戶提交的URI參數(shù)缺少充分過濾,提交包含惡意HTML代碼的數(shù)據(jù),可導(dǎo)致觸發(fā)跨站腳本攻擊,可能獲得目標(biāo)用戶的敏感信息。 目前廠商還沒有提供補(bǔ)丁或者升級程序。
|
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發(fā)布的Win7純凈版系統(tǒng)、Win10純凈版和XP純凈版系統(tǒng)僅為個(gè)人學(xué)習(xí)測試使用,請?jiān)谙螺d后24小時(shí)內(nèi)刪除,不得用于任何商業(yè)用途,否則后果自負(fù),請支持購買微軟正版軟件!
本站所有資源全部來自于網(wǎng)絡(luò)資源,如侵犯到您的權(quán)益,請及時(shí)通知我們(),我們會及時(shí)處理.
Copyright © 2018-2020 蘿卜系統(tǒng)下載站 手機(jī)站 關(guān)于本站
