阿里云提示ecshop Discuz uc.key泄露导致代码注入漏洞修复

最新推荐文章于 2022-04-16 17:42:47 发布
最新推荐文章于 2022-04-16 17:42:47 发布
阅读量155 收藏
点赞数
文章标签: php python
原文链接:https://my.oschina.net/5344991/blog/751512
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

 

 

ecshop最新uc.php sql注入漏洞,出现在后台管理,api/uc.php 程序。

 

影响到所有包括ecshop,大小京东,大小商创程序以ecshop为内核的程序。

 

到发文为止,ecshop官网还未做修复。

 

 打开/api/uc.php修复方法(约在269行)

1

function updateapps($get$post) {

修改为

1

function updateapps($get$post) { if($post['UC_API']) { $post['UC_API'] = addslashes($post['UC_API']); }

 

修复完成,如有ecshop二次开发ecshop模板以及相关的可直接联系客服。

转载于:https://my.oschina.net/5344991/blog/751512

weixin_33747129
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[ vulhub漏洞复现篇 ] ECShop 4.x collection_list SQL注入
qq_51577576的博客
10-01 1753
[ vulhub漏洞复现篇 ] ECShop 4.x collection_list SQL注入ECShop是上海商派网络科技有限公司(ShopEx)旗下——B2C独立网店系统,适合企业及个人快速构建个性化网上商店,系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。
[ vulhub漏洞复现篇 ] ECShop 2.x / 3.x SQL注入/远程执行代码漏洞 xianzhi-2017-02-82239600
最新发布
qq_51577576的博客
09-25 1245
[ vulhub漏洞复现篇 ] ECShop 2.x / 3.x SQL注入/远程执行代码漏洞 xianzhi-2017-02-82239600 ECShop是一个B2C独立商店系统,供公司和个人快速建立个性化的在线商店。该系统是基于PHP语言和MYSQL数据库体系结构的跨平台开源程序。在2017年及之前的版本中,存在一个SQL注入漏洞,该漏洞可能会注入有效载荷并最终导致代码执行漏洞。最新版本的3.6.0已修复漏洞,vulhub使用其最新版本2.7.3和3.6.0非最新版本来重现该漏洞
ecshop初始化漏洞.rar
12-06
ecshop初始化漏洞
ecshop 漏洞如何修复 补丁升级与安全修复详情
网站安全专家
09-21 1561
目前ecshop漏洞大面积爆发,包括最新版的ecshop 3.0,ecshop 4.0,ecshop2.7.3全系列版本都存在着高危网站漏洞导致网站被黑,被篡改,被挂马,许多商城系统深受其漏洞的攻击,给商城的运营者以及网站运营者带来很大的经济损失,甚至有些ecshop还被跳转到了一些恶意网站上去。那么ecshop漏洞如何修复呢? 首先我们要先了解下ecshop漏洞的发生根源,我们SINE安全工...
ecshop后台0day漏洞原理+利用方法 XSS+Getshll
weixin_30469895的博客
11-20 5368
发布日期:2012-10.25 发布作者:dis9@ztz 漏洞类型:跨站攻击 代码执行 0x0 后台getshell 在 includes/cls_template.php fetch函数 /** * 处理模板文件 * * @access public * @param string $filename * @param sting $cache_id *...
关于ECSHOP中sql注入漏洞修复
weixin_33947521的博客
03-20 196
公司部署了一个ecshop网站用于做网上商城使用,部署在阿里云服务器上,第二天收到阿里云控制台发来的告警信息,发现ecshop网站目录下文件sql注入漏洞以及程序漏洞如下图:与技术沟通未果的情况下,网上查了点资料,对其文件进行修复,如下修改:1,/admin/shopinfo.php修复方法(大概在第53、71、105、123行,4个地方修复方式都一样) admin_...
【转】ecshop后台语言项执行漏洞详解
weixin_34029949的博客
03-11 117
漏洞需要能登录ecshop后台权限,简单修改下语言项目,即可在网站植入木马后门。 以下是详细分析 1.登陆到ecshop台后,选择模板管理,语言项编辑,搜索用户信息 为什么要搜索用户 该漏洞需要能登录ecshop后台权限,简单修改下语言项目,即可在网站植入木马后门。 以下是详细分析1.登陆到ecshop台后,选择模板管理,语言项编辑,搜索“用户信息” 为什么要搜索“用...
360提示[严重]Ecshop会员中心XSS漏洞修复.txt
02-02
360提示[严重]Ecshop会员中心XSS漏洞修复.txt 360提示[严重]Ecshop会员中心XSS漏洞修复.txt 360提示[严重]Ecshop会员中心XSS漏洞修复.txt
2017ecshop小京东小鲸懂阿里大鱼阿里云短信插件
03-16
《2017ecshop小京东小鲸懂阿里大鱼阿里云短信插件》是一款针对电商网站的短信服务插件,特别适用于基于ECSHOP平台构建的小型京东类型的在线商店。这款插件的主要功能是集成阿里大鱼(现阿里云通信)的服务,以提供...
小京东、ecshop 接入阿里云旺客服系统
05-07
在本文中,我们将深入探讨如何将小京东和ECShop电子商务平台接入阿里云旺客服系统,以便为用户提供更高效、便捷的在线客服支持。阿里云旺客服系统是一款集成了即时通讯和智能机器人服务的综合客服解决方案,它可以...
ecshopucenter同步登陆uc.php 一点错误勘误
09-28
ecshop的会员整合ucenter的set_cookie函数有问题,所以给修正了下,需要的朋友可以参考下。
ECSHOP全版本注入漏洞分析
11-25 3990
ECSHOP全版本注入漏洞分析   2014-04-03 10:34:52|  分类: Pentest-skills |举报 |字号 订阅           下载LOFTER 我的照片书  | 初学PHP,看了两天语法,找了ecshop全版本注入漏洞来分析,以小菜的角度沿着大牛的思路来前
ecshopUcenter通讯失败的一个很怪的问题
ccfxue的博客
07-08 1716
首先上一篇好文 http://blog.csdn.net/viqecel/article/details/52485774        注意,uc.PHP接口如何调试,(api/uc.php的作用是把论坛等其它应用,传送过来的用户名等信息,向自己的系统中同步登录,或同步注册会员),查看这里的教程.http://blog.csdn.net/viqecel/article/de
SQL注入漏洞原理详解以及常见框架的SQL注入防止
日拱一卒无有尽,功不唐捐终入海
03-06 6565
SQL注入漏洞是指由于应用程序未能正确过滤用户提交的数据,在用户提交包含SQL语句的内容时,会被应用程序接收并在数据库上执行,从而达到非法操作数据库的目的。这种攻击手段被称为SQL注入攻击。
ecshop SQL注入通杀漏洞以及后台拿SHELL
11-25 8442
ecshop SQL注入通杀漏洞以及后台拿SHELL 文章来源:小灰博客|时间:2013-12-10 16:09:59|作者:Leo |2 条评论 文章分类:安全技术    标签: 安全教程 发现本地有家商城太自大了,真是目中无人啊…果断拿下给个警告,下面记载下这个Ecshop通杀漏洞吧! 先用下面的代码看下表的前缀(运气好下面的代码就把账号密码注射出来了) search.ph
Ecshop 漏洞集合
收集盒 Book box
03-31 3142
Ecshop 漏洞集合一、EXP:search.php?encode=YToxOntzOjQ6ImF0dHIiO2E6MTp7czoxMjU6IjEnKSBhbmQgMT0yIEdST1VQIEJZIGdvb2RzX2lkIHVuaW9uIGFsbCBzZWx
ECSHOP 2.7.x sql注入漏洞分析
weixin_43263451的博客
04-16 3400
ecshop将我们可控的参数渲染进模板时,其中利用到$fun($para) 进行动态调用,而通过精心构造的payload使得$fun和$para我们可控,导致可以调用任何函数,从而达到sql注入 1. POC与复现 POC: Referer: 554fcae493e564ee0dc75bdf2ebf94caads|a:2:{s:3:"num";s:1:"1";s:2:"id";s:52:"1' and updatexml(0x7e,concat(0x7e,database()),0x7e)#";} 复现
xwiki,新xss漏洞爆发
wei
09-08 183
这回哥就啥也不说了。。第一次发现xwiki官方尚未处理的漏洞,直接去官方校验效果把:) http://www.xwiki.org/xwiki/bin/view/XWiki/SilviaRusu?language=t5x%27t5x"><script>alert("abc")</script>   当然也可以来拍拍的API平台测试:)http://pop.pa...
360发现Ecshop会员中心严重XSS漏洞修复方法
在360安全扫描中发现了一个严重级别的漏洞,涉及到的是Ecshop(一个开源电子商务系统)的会员中心存在XSS(跨站脚本攻击)漏洞。这个漏洞可能允许恶意用户通过用户输入的数据注入恶意脚本,从而在访问者浏览器上执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值