【漏洞公告】ECshop comment_manage.php 文件 SQL 注入漏洞

漏洞描述

ECshop 是一款 B2C 独立网店系统，适合企业及个人快速构建个性化网上商店。该系统是基于 PHP + MySQL 构架开发的跨平台开源程序。

Ecshop 对部分参数过滤不严，导致攻击者可构造恶意请求，对网站实行 SQL 注入攻击，进而盗取网站数据或进一步入侵服务器。

受影响范围

Ecshop 所有版本

修复方案

• 若您的网站曾经安装过 Ecshop 的测试数据，请尽快删除测试数据中的两个默认后台账号（shhaigonghu1o1 和 bjgonghuo1）。

• 使用云盾 Web 应用防火墙 服务，可以拦截针对此漏洞的攻击代码。

• 关注 Ecshop 官网 发布的最新补丁。