| CNNVD-ID编号 | CNNVD-200906-452 |
| CVE编号 | CVE-2009-2255 |
| 发布时间 | 2009-06-30 |
| 更新时间 | 2009-06-30 |
| 漏洞类型 | 授权问题 |
| 漏洞来源 | BlackH※ Bl4ck.H@gmail.com |
| 危险等级 | 中危 |
| 威胁类型 | 远程 |
| 厂 商 | zen-cart |
Zen Cart是Zen Cart团队开发的一套开源的购物车系统。该系统主要用于建立网上商店,可支持多种付款方式、多语言选择、网上商城批量更新等。
Zen Cart没有对admin/record_company.php模块强制管理认证,远程攻击者可以通过record_company_image和PATH_INFO参数上传.php文件,并通过直接请求images/中的文件来访问上传的文件,导致执行任意指令。
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.zen-cart.com/forum/showthread.php?t=130161
来源: XF
名称: zencart-recordcompany-code-execution(51316)
来源: www.zen-cart.com
来源: www.zen-cart.com
链接:http://www.zen-cart.com/forum/attachment.php?attachmentid=5965
来源: BID
名称: 35467
来源: OSVDB
名称: 55344
来源: MILW0RM
名称: 9004