【漏洞预警】ECShop 远程代码执行高危漏洞

2018-09-05 18:01:54
尊敬的用户

近日京东云安全团队监测到监测到有安全研究人员披露了一个ECShop全系列版本远程代码执行高危漏洞。


【漏洞详情】

ECShop的user.php文件中的display函数的模版变量可控,导致注入。


【风险等级】

严重


【影响范围】

ECShop全系列版本,包括2.x,3.0.x,3.6.x等


【修复建议】

官方补丁更新之前建议强转数据类型

修改include/lib_insert.php,将$arr[id]和$arr[num]强制转换成int型,如下示例:

$arr[id]=intval($arr[id])
    $arr[num]=intval($arr[num])


京东云团队

2018-09-05 18:01:54