ECShop 远程代码执行高危漏洞
时间:2018-09-01
漏洞描述:
ECShop的user.php文件中的display函数的模版变量可控,导致注入,配合注入可达到远程代码执行。攻击者无需登录站点等操作,直接可以利用漏洞获取服务器权限,危害严重。
漏洞评级:
严重
影响范围:
ECShop全系列版本,包括2.x,3.0.x,3.6.x等
安全建议:
1、修改include/lib_insert.php中相关漏洞代码,将$arr[id]和$arr[num]强制转换成int型,如下示例:
$arr[id]=intval($arr[id])
$arr[num]=intval($arr[num])
相关文章
对"对DllRegisterServer的调用失败,错误代码为0x8007005"的解决办法在手工注册DLL文件时,有时会出现对DllRegisterServer的调用失败,错误代码为0x8007005的提示,导致注册失败,该问题经常出现在Vista系统和Windows7系统下,解决- [重要]Windows系统 SMB\RDP远程漏洞风险通知及修复指引近期境外黑客组织The ShadowBrokers公布了一批Windows高危漏洞及批量利用工具,利用该工具可致Windows机器被执行任意命令,引发包括主机蓝屏、被入侵删除数据等
- IIS 状态代码的含义当用户试图通过HTTP或文件传输协议(FTP)访问一台正在运行Internet信息服务(IIS)的服务器上的内容时,IIS返回一个表示该请求的状态的数字代码。
- windows服务器记录3389远程桌面IP策略下面的代码复制一下存成一个批处理文件后双击即可!
- 用shell命令删除网站最新nb挂马的方法与代码教你删除网站最新NB挂马最近发现 很多网站被挂了木马,会在页面中生成如下代码。
- 3389 远程桌面连接的使用技巧绝招!深入玩好远程桌面连接功能.
网站无法加载woff字体文件的解决办法?有客户反馈在安装网站后,woff、woff2字体无法加载,导致无法显示图标文件,这种情况要怎么解决呢? 这是因为服务器IIS默认是没有SVG,WOFF,WOFF2这几个文件类型的扩展的,
网站服务器不支持.7z文件下载的解决方法7-Zip是一款号称有着现今最高压缩比的压缩软件,它不仅支持独有的7z文件格式,而且还支持各种其它压缩文件格式,其中包括ZIP, RAR, CAB, GZIP, BZIP2和TAR。此软件压缩的压