投稿
网站运营

ecshop 全系列版本网站漏洞 远程代码实行sql注入漏洞

作者:admin 2021-09-02 我要评论

ecshop漏洞于2021年9月12日被某安全组织披露爆出,该漏洞受影响范围较广,ecshop2.73版本与现在最新的3.0、3.6、4.0版本都...

ecshoh3漏洞修复

现在ecshop官方并没升级任何版本,也没告知漏洞补丁,大家SINE安全公司建议各位网站的运营者对网站配置目录下的lib_insert.php里的id与num的数据转换成整数型,或者是将网站的user.php改名,停止用户管理中心的登录,或者找专业的网站安全公司去修复漏洞补丁,做好网站安全测试与部署。对网站的images目录写入进行关闭,取消images的php脚步实行权限。

ecshoh3漏洞产生缘由

全系列版本的ecshop网站漏洞,漏洞的根源是在网站根目录下的user.php代码,在调用远程函数的同时display赋值的地方可以直接插入恶意的sql注入语句,致使可以查看mysql数据库里的内容并写入数据到网站配置文件当中,或者可以让数据库远程下载文件到网站目录当中去。

此referer里的内容就是要网站远程下载一个脚本大马,下载成功后会直接命名为SINE.php,攻击者打开该文件就可以实行对网站的读写上传下载等操作,甚至会直接入侵服务器,拿到服务器的管理员权限。

ecshop漏洞于2021年9月12日被某安全组织披露爆出,该漏洞受影响范围较广,ecshop2.73版本与现在最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影响,主要漏洞是借助远程代码实行sql注入语句漏洞,致使可以插入sql查看代码与写入代码到网站服务器里,紧急的可以直接获得服务器的管理员权限,甚至有的网站用的是虚拟主机,可以直接获得网站ftp的权限,该漏洞POC已公开,用容易,现在不少商城网站都被攻击,风险较大,针对于此大家SINE安全对该ECSHOP漏洞的详细情况与怎么样修复网站的漏洞,及怎么样部署网站安全等方面进行详细的解析。

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • 网站运营优化专题剖析:订单

    网站运营优化专题剖析:订单

  • 用户行为的数据对于网站运营

    用户行为的数据对于网站运营