ecshop include_libcommon.php SQL注射漏洞

发布时间:2010-08-21
影响版本:ECSHOP All Version
漏洞描述:在Ecshop中缺乏对参数的有效过滤,导致一个SQL注射漏洞,成功利用该漏洞的攻击者可以获得数据库及站点的完全权限

在include_libcommon.php中存在如下函数

其中$id没有经过严格过滤就直接进入了SQL查询,导致一个SQL注射漏洞。

测试方法:

本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

在系统的lib_order.php中存在一个该函数的调用

安全建议:

厂商补丁
ECSHOP
----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ecshop.com