top of page
  • Writer's pictureMarco Lam

ECShop 漏洞 2018年9月

ECShop 漏洞

黑客可通過WEB攻擊直接獲得服務器權限

阿里雲應急中心在實測中證實。

ECShop全部版本(包括2.x、3.0.x、3.6.x)均存在遠程代碼執行漏洞。

阿里雲態勢感知數據研究中心監控數據顯示,該漏洞容易使用,可以造成的破壞強,並已經發現入侵跡,需要用戶進行修補。

include/lib_insert.php中,以下兩個Var的定義容許非特定類型輸入。

$arr

$arr

導致可以在未登入情況下修改並注入木馬

0 views0 comments
bottom of page