|
 |
栏目导栏 |
|
| |
|
|
|
|
|
资料搜索 |
|
| |
|
|
|
|
|
热门文章 |
|
| |
|
|
|
|
|
最新文章 |
|
| |
|
|
|
| |
| |
|
|
|
|
受影响系统: smKLinux联盟
smKLinux联盟
phpShop phpShop 0.6.1-b smKLinux联盟
smKLinux联盟
详细描述: smKLinux联盟
smKLinux联盟
phpShop是一款基于PHP的电子商务程序,可方便的扩展WEB功能。phpShop存在多个安全问题,远程攻击者可以利用这些漏洞攻击数据库,获得敏感信息,执行任意脚本代码。 smKLinux联盟
smKLinux联盟
具体问题如下: smKLinux联盟
smKLinux联盟
1、SQL注入漏洞: smKLinux联盟
smKLinux联盟
当更新会话时存在一个SQL注入问题,可以对"page"变量提交恶意SQL命令而修改原有SQL逻辑,同样对"product_id"和"offset"变量进行注入也存在同样问题。 smKLinux联盟
smKLinux联盟
2、用户信息泄露漏洞: smKLinux联盟
smKLinux联盟
通过查询"account/shipto"模块,可获得大量客户信息。如果用户以合法帐户登录,也可能查看管理员信息。这些信息包括客户的地址,公司名等等信息。 smKLinux联盟
smKLinux联盟
3、跨站脚本执行攻击: smKLinux联盟
smKLinux联盟
多个参数对用户提交的URI参数缺少充分过滤,提交包含恶意HTML代码的数据,可导致触发跨站脚本攻击,可能获得目标用户的敏感信息。 smKLinux联盟
smKLinux联盟
目前厂商还没有提供补丁或者升级程序。 smKLinux联盟
Linux联盟收集整理 ,转贴请标明原始链接,如有任何疑问欢迎来本站Linux论坛讨论 |
|
|
|
|
|
