• 免费与收费混搭总会拖垮社会主义经济(原创首发) 2019-05-15
  • 徐悲鸿中学“大美徐中 进步之师”——华龙网 2019-05-14
  • 备受鼓舞!习近平致信祝贺人民日报创刊70周年 ( 今日关注 2019-05-14
  • 俄美外长电话讨论两国近期“政治接触安排” 2019-05-13
  • 推进农村贫困人口白内障免费治疗 2019-05-12
  • 小说文体审视、研究唐蕃关系的新突破 2019-05-04
  • 周冬雨首演小护士与李易峰再现荧幕情侣 2019-04-28
  • 《国家社科基金项目成果选介汇编》第六辑 2019-04-28
  • 救护车遇堵车 上百辆车两分半钟让出生命通道 2019-04-18
  • 为什么蚊子总喜欢亲你?招蚊子体质大揭秘 2019-04-17
  • 人民日报人民时评:前进的时代需要英雄 2019-04-15
  • 概括起来就是:人在任何时候都有神赐的田地生长粮棉等生物而足食丰衣。 2019-04-15
  • 赞扬和推荐看着就想笑文章《如何制订企业发展计划》 2019-04-14
  • 消息称微软新版Xbox主机2020年上市消息称微软新版Xbox主机2020年上市-手机行情 2019-04-11
  • “黄金单身汉”英国哈里王子宣布订婚 2019-04-08
  • ECShop 远程代码执行高危漏洞

    2018-09-01 服务器
    • 文章介绍
    漏洞描述:
     
    ECShop的user.php文件中的display函数的模版变量可控,导致注入,配合注入可达到远程代码执行。攻击者无需登录站点等操作,直接可以利用漏洞获取服务器权限,危害严重。
     
     
    漏洞评级:
    严重
     
     
    影响范围:
    ECShop全系列版本,包括2.x,3.0.x,3.6.x等
     
     
    安全建议:
     
    1、修改include/lib_insert.php中相关漏洞代码,将$arr[id]和$arr[num]强制转换成int型,如下示例:
    $arr[id]=intval($arr[id])
    $arr[num]=intval($arr[num])

    专业的织梦模板定制下载站,在线购买后即可下载!

    商业源码

    跟版网模板,累计帮助5000+客户企业成功建站,为草根创业提供助力!

    立刻开启你的建站之旅
    QQ在线客服

    服务热线

    织梦建站咨询
  • 免费与收费混搭总会拖垮社会主义经济(原创首发) 2019-05-15
  • 徐悲鸿中学“大美徐中 进步之师”——华龙网 2019-05-14
  • 备受鼓舞!习近平致信祝贺人民日报创刊70周年 ( 今日关注 2019-05-14
  • 俄美外长电话讨论两国近期“政治接触安排” 2019-05-13
  • 推进农村贫困人口白内障免费治疗 2019-05-12
  • 小说文体审视、研究唐蕃关系的新突破 2019-05-04
  • 周冬雨首演小护士与李易峰再现荧幕情侣 2019-04-28
  • 《国家社科基金项目成果选介汇编》第六辑 2019-04-28
  • 救护车遇堵车 上百辆车两分半钟让出生命通道 2019-04-18
  • 为什么蚊子总喜欢亲你?招蚊子体质大揭秘 2019-04-17
  • 人民日报人民时评:前进的时代需要英雄 2019-04-15
  • 概括起来就是:人在任何时候都有神赐的田地生长粮棉等生物而足食丰衣。 2019-04-15
  • 赞扬和推荐看着就想笑文章《如何制订企业发展计划》 2019-04-14
  • 消息称微软新版Xbox主机2020年上市消息称微软新版Xbox主机2020年上市-手机行情 2019-04-11
  • “黄金单身汉”英国哈里王子宣布订婚 2019-04-08