首页站长新闻最新ShopEx高危漏洞修复补丁发布

最新ShopEx高危漏洞修复补丁发布

2013-06-25 38

近日360网站安全检测平台发布消息称,该平台协助知名开源电商系统ShopEx修复了一个SQL注入高危漏洞,目前ShopEx官网已发布补丁,提醒广大站长尽快做好安全更新。同时,360网站卫士用户已可免疫此ShopEx漏洞,加入360网站卫士防护的网站不受影响。

据悉,ShopEx是国内市场份额最高的网店系统之一,正广泛应用于各种规模的电商网站。鉴于电商网站存在大量用户资料和交易记录,因此一直是黑客重点入侵的对象。据360发布的《2013中国电商行业网站安全检测报告》显示:国内电商网站安全检测平均成绩仅65分,平均每天有24.5家电商网站遭黑客攻击,一些网站频繁曝出用户数据库泄露、网页被篡改等事故,电商网站安全性成为消费者选择网购平台的关注焦点。

360网站安全工程师介绍说,ShopEx是国内相对更重视漏洞修复的建站系统,能够及时响应漏洞报告。最新出现的ShopExSQL注入漏洞存在于修改收货地址的页面,黑客可以利用漏洞查询网站数据信息甚至“拖库”。360网站漏洞悬赏项目“库带计划”收到该漏洞报告后,第一时间通知ShopEx进行修复,并协助对方快速推出补丁。

ShopEx官方补丁下载地址:http://bbs.shopex.cn/read.php?tid-302369.html

最新ShopEx高危漏洞修复补丁发布

图:360协助ShopEx修复SQL注入漏洞

ShopExSQL注入漏洞原理

漏洞存在于/core/shop/controller/ctl.member.php文件中的saveRec方法中,对传入的用户参数未作任何过滤。

最新ShopEx高危漏洞修复补丁发布

漏洞利用效果及危害

可被攻击者用户获取数据库任意数据,包括管理员账号及密码哈希,甚至“拖库”等。黑客可以直接执行SQL语句,可能获取数据、修改数据、删除数据等,甚至控制服务器。ShopEx官网已对此发布安全补丁。

最新ShopEx高危漏洞修复补丁发布

来源: 速途网

  • 广告合作

  • QQ群号:707632017

温馨提示:
1、本网站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。邮箱:2942802716#qq.com(#改为@)。 2、本站原创内容未经允许不得转裁,转载请注明出处“站长百科”和原文地址。

相关文章