5月6日下午,湖盟云防火墻安全專家Viekst向烏云平臺提交了一份關(guān)于ecshop安全漏洞,并第一時間聯(lián)系了廠商,報告的內(nèi)容是關(guān)于ECSHOP后臺代碼編寫不嚴謹可能導(dǎo)致權(quán)限丟失,危害極大。20分鐘后,廠商已經(jīng)確認了該漏洞,并緊急調(diào)整,目前,漏洞已被修復(fù)。
ECShop是上海商派網(wǎng)絡(luò)科技有限公司(ShopEx)旗下——B2C獨立網(wǎng)店系統(tǒng),系統(tǒng)是基于PHP語言及MYSQL數(shù)據(jù)庫構(gòu)架開發(fā)的跨平臺開源程序,經(jīng)過近兩年的發(fā)展,ECShop網(wǎng)店系統(tǒng)無論在產(chǎn)品功能、穩(wěn)定性、執(zhí)行效率、負載能力、安全性和SEO支持(搜索引擎優(yōu)化)等方面都居國內(nèi)同類產(chǎn)品領(lǐng)先地位,成為國內(nèi)最流行的購物系統(tǒng)之一,用戶量非常龐大。如果這次的漏洞被駭客利用,有可能會造成大面積的ECSHOP用戶被攻擊和利用,后果非常嚴重。
湖盟云防火墻安全團隊從06年成立至今始終致力于跟蹤國內(nèi)外最新網(wǎng)絡(luò)安全漏洞研究動向,持續(xù)開展漏洞分析和挖掘、逆向工程技術(shù)等安全專項研究。近日,Viekst在對接入湖盟云防火墻的某用戶進行檢測時,發(fā)現(xiàn)用戶使用的ECSHOP系統(tǒng)可能存在被利用的風(fēng)險,對ECSHOP后臺代碼進行審計,發(fā)現(xiàn)某文件存在文件包含,再通過跨站讓管理員來訪問包含的文件就可以getshell。
(因某些原因,具體信息暫不公布)
成功利用:
湖盟云平臺(my.hnhack.com):國際知名的網(wǎng)站安全保護、網(wǎng)站性能提升平臺 ,通過湖盟云平臺分布在世界各地的節(jié)點,可以有效提高網(wǎng)站訪問量,據(jù)統(tǒng)計,使用了湖盟云平臺的網(wǎng)站,平均可加速200%以上,網(wǎng)站訪問量提高20%。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:湖盟云安全團隊公布ECSHOP高危漏洞
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112158950.html