首页 -> 安全研究

安全研究

安全漏洞
Zen Cart多个远程安全漏洞

发布日期:2010-10-01
更新日期:2010-10-01

受影响系统:
Zen Ventures Zen Cart 1.x
描述:
BUGTRAQ  ID: 43628

Zen Cart是一款免费开源的购物车软件。

Zen Cart的实现上存在多个安全漏洞,远程攻击者可能利用这些漏洞执行SQL注入、跨站脚本和信息泄露攻击。

软件在处理用户输入未加充分检查过滤即用于SQL查询或输出到用户浏览器,形成典型的SQL注入或代码注入漏洞,这些漏洞影响1.3.9.g以下的版本。软件的index.php脚本没有充分过滤'typefilter'变量,攻击者可以利用此漏洞通过目录遍历串包含本地的文件,此漏洞影响1.3.9.f及以下的版本。


<*来源:Gjoko Krstic (gjoko@zeroscience.mk
  
  链接:http://www.zeroscience.mk/en/vulnerabilities/ZSL-2010-4967.php
        http://secunia.com/advisories/41666/
*>

建议:
厂商补丁:

Zen Ventures
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.zen-cart.com/forum/showthread.php?t=165017

浏览次数:3207
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障