EC-CUBE SQL注入漏洞

漏洞信息详情

EC-CUBE SQL注入漏洞

• CNNVD编号：CNNVD-201110-378
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2011-3988
  
• 漏洞类型：
  
  
  SQL注入
  
• 发布时间：
  
  2011-10-18
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2011-10-24
  
• 厂        商：
  
  lockon
• 漏洞来源：

LOCKON EC-CUBE是日本LOCKON公司开发的一套开源的电子商务网站构建平台。该平台支持商品登录、用户评价、美工布局等。

EC-CUBE 2.11.0到2.11.2版本中存在SQL注入漏洞。由于data/class/SC_Query.php中的某些未指明的输入被用于SQL查询之前没有经过正确的过滤，攻击者可通过注入任意SQL代码操作SQL查询。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://jvn.jp/en/jp/JVN44496332/index.html

来源: XF

名称: eccube-scquery-sql-injection(70625)

链接:http://xforce.iss.net/xforce/xfdb/70625

来源: BID

名称: 50140

链接:http://www.securityfocus.com/bid/50140

来源: www.ec-cube.net

链接:http://www.ec-cube.net/release/detail.php?release_id=286

来源: www.ec-cube.net

链接:http://www.ec-cube.net/info/weakness/weakness.php?id=38

来源: svn.ec-cube.net

链接:http://svn.ec-cube.net/open_trac/ticket/1502

来源: SECUNIA

名称: 46446

链接:http://secunia.com/advisories/46446

来源: OSVDB

名称: 76399

链接:http://osvdb.org/76399

来源: JVNDB

名称: JVNDB-2011-000087

链接:http://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-000087.html

来源: JVN

名称: JVN#44496332

链接:http://jvn.jp/en/jp/JVN44496332/index.html