欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

PHPShop存在多個(gè)安全漏洞

 更新時(shí)間:2006年10月09日 00:00:00   作者:  

  受影響系統(tǒng):

  phpShop phpShop 0.6.1-b

  詳細(xì)描述:

  phpShop是一款基于PHP的電子商務(wù)程序,可方便的擴(kuò)展WEB功能。phpShop存在多個(gè)安全問題,遠(yuǎn)程攻擊者可以利用這些漏洞攻擊數(shù)據(jù)庫,獲得敏感信息,執(zhí)行任意腳本代碼。

  具體問題如下:

  1、SQL注入漏洞:

  當(dāng)更新會(huì)話時(shí)存在一個(gè)SQL注入問題,可以對"page"變量提交惡意SQL命令而修改原有SQL邏輯,同樣對"product_id"和"offset"變量進(jìn)行注入也存在同樣問題。

  2、用戶信息泄露漏洞:

  通過查詢"account/shipto"模塊,可獲得大量客戶信息。如果用戶以合法帳戶登錄,也可能查看管理員信息。這些信息包括客戶的地址,公司名等等信息。

  3、跨站腳本執(zhí)行攻擊:

  多個(gè)參數(shù)對用戶提交的URI參數(shù)缺少充分過濾,提交包含惡意HTML代碼的數(shù)據(jù),可導(dǎo)致觸發(fā)跨站腳本攻擊,可能獲得目標(biāo)用戶的敏感信息。

  目前廠商還沒有提供補(bǔ)丁或者升級程序。

 

相關(guān)文章

最新評論