ECShop远程代码执行高危漏洞
漏洞描述ECShop的user.php文件中的display函数的模版变量可控,导致注入,配合注入可达到远程代码执行。攻击者无需登录站点等操作,直接可以利用漏洞获取服务器权限,危害严重。危害评级严重 影响范围ECShop全系列版本,包括2.x,3.0.x,3.6.x等解决方案:修改include/lib_insert.php中相关漏洞代码,将$arr和$arr强制转换成int型,如下:
$arr=intval($arr)
$arr=intval($arr)
页:
[1]