|
|
受影響系統(tǒng):
詳細描述:
phpShop是一款基于php的電子商務程序,可方便的擴展WEB功能。phpShop存在多個安全問題,遠程攻擊者可以利用這些漏洞攻擊數(shù)據(jù)庫,獲得敏感信息,執(zhí)行任意腳本代碼。
具體問題如下:
1、SQL注入漏洞:
當更新會話時存在一個SQL注入問題,可以對"page"變量提交惡意SQL命令而修改原有SQL邏輯,同樣對"product_id"和"offset"變量進行注入也存在同樣問題。
2、用戶信息泄露漏洞:
通過查詢"account/shipto"模塊,可獲得大量客戶信息。如果用戶以合法帳戶登錄,也可能查看管理員信息。這些信息包括客戶的地址,公司名等等信息。
3、跨站腳本執(zhí)行攻擊:
多個參數(shù)對用戶提交的URI參數(shù)缺少充分過濾,提交包含惡意HTML代碼的數(shù)據(jù),可導致觸發(fā)跨站腳本攻擊,可能獲得目標用戶的敏感信息。
目前廠商還沒有提供補丁或者升級程序。
php技術(shù):PHPShop存在多個安全漏洞,轉(zhuǎn)載需保留來源!
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯(lián)系我們修改或刪除,多謝。
