| CNNVD-ID编号 | CNNVD-200906-452 | CVE编号 | CVE-2009-2255 |
| 发布时间 | 2009-06-30 | 更新时间 | 2009-06-30 |
| 漏洞类型 | 授权问题 | 漏洞来源 | BlackH※ Bl4ck.H@gmail.com |
| 危险等级 | 中危 | 威胁类型 | 远程 |
| 厂商 | zen-cart | ||
Zen Cart是Zen Cart团队开发的一套开源的购物车系统。该系统主要用于建立网上商店,可支持多种付款方式、多语言选择、网上商城批量更新等。
Zen Cart没有对admin/record_company.php模块强制管理认证,远程攻击者可以通过record_company_image和PATH_INFO参数上传.php文件,并通过直接请求images/中的文件来访问上传的文件,导致执行任意指令。
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.zen-cart.com/forum/showthread.php?t=130161
来源: XF
名称: zencart-recordcompany-code-execution(51316)
来源: www.zen-cart.com
来源: www.zen-cart.com
链接:http://www.zen-cart.com/forum/attachment.php?attachmentid=5965
来源: BID
名称: 35467
来源: OSVDB
名称: 55344
来源: MILW0RM
名称: 9004
计算
安全
数据库
网络和加速
企业服务
