ecshop 全系列版本网站漏洞 远程代码执行sql注入漏洞

　 域名预订/竞价，好“米”不错过

ecshop漏洞于2018年9月12日被某安全组织披露爆出，该漏洞受影响范围较广，ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影响，主要漏洞是利用远程代码执行sql注入语句漏洞，导致可以插入sql查询代码以及写入代码到网站服务器里，严重的可以直接获取服务器的管理员权限，甚至有些网站使用的是虚拟主机，可以直接获取网站ftp的权限，该漏洞POC已公开，使用简单，目前很多商城网站都被攻击，危害较大，针对于此我们SINE安全对该ECSHOP漏洞的详情以及如何修复网站的漏洞，及如何部署网站安全等方面进行详细的解读。

ecshop漏洞产生原因

全系列版本的ecshop网站漏洞，漏洞的根源是在网站根目录下的user.php代码，在调用远程函数的同时display赋值的地方可以直接插入恶意的sql注入语句，导致可以查询mysql数据库里的内容并写入数据到网站配置文件当中，或者可以让数据库远程下载文件到网站目录当中去。