| 漏洞类型 | 影响版本 | 漏洞描述 | 修复建议 |
| 远程代码执行高危漏洞 | ECShop全系列版本,包括2.x,3.0.x,3.6.x等 | 在user.php文件中的display函数中,模板变量可控,导致注入,可配合注入达到远程代码执行,攻击者无需登录站点等操作,可以直接写入webshell,危害严重。 | 对insert_ads函数的num和id参数进行intval处理。 |
| SQL注入漏洞 | ECShop 4.1.0及以下 | 在delete_cart_goods.php文件的第16行,$_POST变量直接传入sql语句进行拼接,再进入数据库查询,触发漏洞。 | 对请求参数进行过滤。 |
信息仅供参考,具体请以官方发布的安全公告为准。
(图片来源网络,侵删)
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/57193.html
