欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 493|回复: 0

[安全通知] 关于 ECShop 远程代码执行漏洞的通知

[复制链接]

219

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
33930
威望
13983
发表于 2018-9-17 13:30:41 |显示全部楼层
尊敬的腾讯云客户,您好:
   近日,腾讯云安全中心监测到 ECShop 被曝存在远程代码执行漏洞攻击者可利用该漏洞进行远程代码执行攻击
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
   由于 ECShop 对 user.php 文件中的 display 函数的变量输入未做过滤导致导致存在 SQL 注入漏洞,可被攻击者获取用户敏感数据,获取服务器权限。

【风险等级】
   高风险

【漏洞风险】
   远程命令执行,敏感数据泄露

【影响版本】
   目前已知受影响版本如下:
   ECShop 2.x
   ECShop 3.0.x
   ECShop 3.6.x

【修复建议】
   截至公告发布,ECShop 官方尚未发布针对该漏洞的修复补丁,腾讯云会密切关注官方补丁发布情况,在补丁发布后将会第一时间跟进修复方案,也请您注意及时关注腾讯云官方论坛安全公告。
   临时修复方案:
   建议在 include/lib_insert.php 中把 $arr[id] 和 $arr[num] 强制转换成整型,避免危险攻击指令被执行。

【漏洞参考】
  1)漏洞细节:http://ringk3y.com/2018/08/31/ecshop2-x代码执行/


2018/9/17

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-11-18 08:31 , Processed in 1.180861 second(s), 29 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部