中国站

Zen Cart record_company.php模块远程代码执行漏洞

CNNVD-ID编号 CNNVD-200906-452 CVE编号 CVE-2009-2255
发布时间 2009-06-30 更新时间 2009-06-30
漏洞类型 授权问题 漏洞来源 BlackH※ Bl4ck.H@gmail.com
危险等级 中危 威胁类型 远程
厂商 zen-cart

漏洞介绍

Zen Cart是Zen Cart团队开发的一套开源的购物车系统。该系统主要用于建立网上商店,可支持多种付款方式、多语言选择、网上商城批量更新等。

Zen Cart没有对admin/record_company.php模块强制管理认证,远程攻击者可以通过record_company_image和PATH_INFO参数上传.php文件,并通过直接请求images/中的文件来访问上传的文件,导致执行任意指令。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

参考网址

受影响实体

信息来源

查询漏洞

    • 漏洞名称
    • CVE编号
    • CNNVD编号
  • 开始时间

  • 结束时间