5月6日下午,湖盟云防火墙安全专家Viekst向乌云平台提交了一份关于ecshop安全漏洞,并第一时间联系了厂商,报告的内容是关于ECSHOP后台代码编写不严谨可能导致权限丢失,危害极大。20分钟后,厂商已经确认了该漏洞,并紧急调整,目前,漏洞已被修复。
ECShop是上海商派网络科技有限公司(ShopEx)旗下——B2C独立网店系统,系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序,经过近两年的发展,ECShop网店系统无论在产品功能、稳定性、执行效率、负载能力、安全性和SEO支持(搜索引擎优化)等方面都居国内同类产品领先地位,成为国内最流行的购物系统之一,用户量非常庞大。如果这次的漏洞被骇客利用,有可能会造成大面积的ECSHOP用户被攻击和利用,后果非常严重。
湖盟云防火墙安全团队从06年成立至今始终致力于跟踪国内外最新网络安全漏洞研究动向,持续开展漏洞分析和挖掘、逆向工程技术等安全专项研究。近日,Viekst在对接入湖盟云防火墙的某用户进行检测时,发现用户使用的ECSHOP系统可能存在被利用的风险,对ECSHOP后台代码进行审计,发现某文件存在文件包含,再通过跨站让管理员来访问包含的文件就可以getshell。
(因某些原因,具体信息暂不公布)
成功利用:
湖盟云平台(my.hnhack.com):国际知名的网站安全保护、网站性能提升平台 ,通过湖盟云平台分布在世界各地的节点,可以有效提高网站访问量,据统计,使用了湖盟云平台的网站,平均可加速200%以上,网站访问量提高20%。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:湖盟云安全团队公布ECSHOP高危漏洞
相关文章
