Home  >  Article  >  Backend Development  >  PHPShop存在多个安全漏洞

PHPShop存在多个安全漏洞

WBOY
WBOYOriginal
2016-06-01 14:28:29757browse

受影响系统:

phpShop phpShop 0.6.1-b

详细描述:

phpShop是一款基于PHP的电子商务程序,可方便的扩展WEB功能。phpShop存在多个安全问题,远程攻击者可以利用这些漏洞攻击数据库,获得敏感信息,执行任意脚本代码。

具体问题如下:

1、SQL注入漏洞:

当更新会话时存在一个SQL注入问题,可以对"page"变量提交恶意SQL命令而修改原有SQL逻辑,同样对"PRoduct_id"和"offset"变量进行注入也存在同样问题。

2、用户信息泄露漏洞:

通过查询"account/shipto"模块,可获得大量客户信息。如果用户以合法帐户登录,也可能查看管理员信息。这些信息包括客户的地址,公司名等等信息。

3、跨站脚本执行攻击:

多个参数对用户提交的URI参数缺少充分过滤,提交包含恶意HTML代码的数据,可导致触发跨站脚本攻击,可能获得目标用户的敏感信息。

目前厂商还没有提供补丁或者升级程序。

Statement:
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn