360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
高危高危

cmseasy unserialize 代码执行漏洞

WASC Threat Classification

发现时间:

2015-01-09

漏洞类型:

代码执行

所属建站程序:

Cmseasy

所属服务器类型:

通用

所属编程语言:

PHP

描述:

1.该注入漏洞可以导致注入脚本命令来执行GETSHELL 权限。
2、在lib\default\archive_act.php 的 unserialize脚本对危险函数输入没做任何处理,形成注入漏洞。
 } else {
            $oreders_c = cookie::get('ce_orders_cookie');
            if(preg_match('/union/i', $oreders_c)){
                alerterror("非法字符");
            }
            $oreders_c = stripslashes(htmlspecialchars_decode($oreders_c));
            $aid = !empty($oreders_c) ? unserialize($oreders_c) : 0;

危害:

黑客可以利用该漏洞直接在网站执行任意代码,从而有可能直接控制网站服务器,盗取网站数据,影响网站的正常运营。

解决方案:

升级最新版本


如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论