VULHUB ™

HuCart（虎卡）是一套开源的企业建站系统。 HuCart 5.7.4版本中的system/class/helper_class.php文件的‘get_ip()’函数存在SQL注入漏洞，该漏洞源于程序未对HTTP包头数据进行安全过滤。远程攻击者可通过向user/index.php?load=login＆act=act_login URI发送X-Forwarded-For HTTP包头利用该漏洞执行SQL命令（例如：修改任意用户密码）。

HuCart（虎卡）是一套开源的企业建站系统。 HuCart 5.7.4版本中的system/class/helper_class.php文件的‘get_ip()’函数存在SQL注入漏洞，该漏洞源于程序未对HTTP包头数据进行安全过滤。远程攻击者可通过向user/index.php?load=login＆act=act_login URI发送X-Forwarded-For HTTP包头利用该漏洞执行SQL命令（例如：修改任意用户密码）。