5月6日下午,湖盟云防火墻安全專家Viekst向烏云平臺提交了一份關于ecshop安全漏洞,并第一時間聯系了廠商,報告的內容是關于ECSHOP后臺代碼編寫不嚴謹可能導致權限丟失,危害極大。20分鐘后,廠商已經確認了該漏洞,并緊急調整,目前,漏洞已被修復。
ECShop是上海商派網絡科技有限公司(ShopEx)旗下——B2C獨立網店系統,系統是基于PHP語言及MYSQL數據庫構架開發的跨平臺開源程序,經過近兩年的發展,ECShop網店系統無論在產品功能、穩定性、執行效率、負載能力、安全性和SEO支持(搜索引擎優化)等方面都居國內同類產品領先地位,成為國內最流行的購物系統之一,用戶量非常龐大。如果這次的漏洞被駭客利用,有可能會造成大面積的ECSHOP用戶被攻擊和利用,后果非常嚴重。
湖盟云防火墻安全團隊從06年成立至今始終致力于跟蹤國內外最新網絡安全漏洞研究動向,持續開展漏洞分析和挖掘、逆向工程技術等安全專項研究。近日,Viekst在對接入湖盟云防火墻的某用戶進行檢測時,發現用戶使用的ECSHOP系統可能存在被利用的風險,對ECSHOP后臺代碼進行審計,發現某文件存在文件包含,再通過跨站讓管理員來訪問包含的文件就可以getshell。
(因某些原因,具體信息暫不公布)
成功利用:
湖盟云平臺(my.hnhack.com):國際知名的網站安全保護、網站性能提升平臺 ,通過湖盟云平臺分布在世界各地的節點,可以有效提高網站訪問量,據統計,使用了湖盟云平臺的網站,平均可加速200%以上,網站訪問量提高20%。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:湖盟云安全團隊公布ECSHOP高危漏洞
相關文章
