SHOP++ 漏洞列表
共找到 146 个与 SHOP++ 相关的漏洞
📅 加载漏洞趋势中...
-
PrestaShop /module/tshirtecommerce/designer SQL 注入漏洞(CVE-2023-27637) 无POC
在 PrestaShop 的 tshirtecommerce(又名自定义产品设计器)组件 2.1.4 中发现了一个问题。可以使用受损的 product_id GET 参数伪造 HTTP 请求,以利用前端控制器文件designer.php中的不安全参数,这可能导致 SQL 注入。 -
PrestaShop SQL 注入漏洞(CVE-2023-46358) 无POC
Snegurka for PrestaShop模块中的“Referral and Affiliation Program”(推荐和联盟计划)版本3.5.1及之前版本中存在漏洞。通过在方法'ReferralByPhoneDefaultModuleFrontController::ajaxProcessCartRuleValidate'中执行敏感的SQL调用,攻击者可以利用简单的HTTP请求进行SQL注入攻击,从而伪造SQL查询并获取敏感信息。 -
PrestaShop /module/askforaquote/QuotesCart SQL 注入漏洞(CVE-2023-27843) 无POC
PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案。该方案提供多种支付方式、短消息提醒和商品图片缩放等功能。 PrestaShop askforaquote v.5.4.2版本及之前版本存在安全漏洞。远程攻击者利用该漏洞通过QuotesProduct::deleteProduct组件获得权限。 -
NiuShop开源商城 /index.php SQL 注入漏洞(CNVD-2017-08412) 无POC
在 /index.php?s=/wap/goods/getShareContents///接口中,参数goods_id 未经过安全处理被直接用于构造 SQL 查询。攻击者可通过构造带有 SLEEP()的子查询让数据库延时,从而确认注入存在并进行盲注枚举。该问题属于盲注类 SQL 注入,可被用于长期数据抽取、探测数据库版本或制造拒绝服务(连接被长期占用) -
CVE-2024-0352: Likeshop userFormImage 文件上传漏洞 POC
Likeshop up to 2.5.7.20210311 存在一处安全漏洞,被分类为严重级别。该漏洞影响 HTTP POST 请求处理组件的 file server/application/api/controller/File.php 的函数 FileServer::userFormImage。攻击者可以通过对参数 file 的篡改来实现未受限的文件上传。攻击可以远程发起,且已经公开披露并可能被利用。该漏洞的标识符为 VDB-250120。 Fofa: icon_hash="874152924" -
ecshop-2x-sql-inject: ECShop 2.x/3.x SQL 注入/远程代码执行 POC
ecshop -
CVE-2010-1531: Joomla! Component redSHOP 1.0 - Local File Inclusion POC
A directory traversal vulnerability in the redSHOP (com_redshop) component 1.0.x for Joomla! allows remote attackers to read arbitrary files via a .. (dot dot) in the view parameter to index.php. -
CVE-2014-4577: WP AmASIN – The Amazon Affiliate Shop - Local File Inclusion POC
Absolute path traversal vulnerability in reviews.php in the WP AmASIN - The Amazon Affiliate Shop plugin 0.9.6 and earlier for WordPress allows remote attackers to read arbitrary files via a full pathname in the url parameter. -
CVE-2018-10942: Prestashop AttributeWizardPro Module - Arbitrary File Upload POC
In the Attribute Wizard addon 1.6.9 for PrestaShop allows remote attackers to execute arbitrary code by uploading a php file. -
CVE-2018-8823: PrestaShop Responsive Mega Menu Module - Remote Code Execution POC
The 'Responsive Mega Menu' module for PrestaShop is prone to a remote code execution and SQL injection vulnerability. modules/bamegamenu/ajax_phpcode.php in the Responsive Mega Menu (Horizontal+Vertical+Dropdown) Pro module 1.0.32 for PrestaShop allows remote attackers to execute an SQL injection or remote code execution through function calls in the code parameter. -
CVE-2020-26248: PrestaShop Product Comments <4.2.0 - SQL Injection POC
PrestaShop Product Comments module before version 4.2.1 contains a SQL injection vulnerability, An attacker can use a blind SQL injection to retrieve data or stop the MySQL service, thereby possibly obtaining sensitive information, modifying data, and/or executing unauthorized administrative operations in the context of the affected site. -
CVE-2020-5307: PHPGurukul Dairy Farm Shop Management System 1.0 - SQL Injection POC
PHPGurukul Dairy Farm Shop Management System 1.0 is vulnerable to SQL injection, as demonstrated by the username parameter in index.php, the category and CategoryCode parameters in add-category.php, the CompanyName parameter in add-company.php, and the ProductName and ProductPrice parameters in add-product.php. -
CVE-2021-3110: PrestaShop 1.7.7.0 - SQL Injection POC
PrestaShop 1.7.7.0 contains a SQL injection vulnerability via the store system. It allows time-based boolean SQL injection via the module=productcomments controller=CommentGrade id_products[] parameter. An attacker can possibly obtain sensitive information, modify data, and/or execute unauthorized administrative operations in the context of the affected site. -
CVE-2021-36748: PrestaHome Blog for PrestaShop <1.7.8 - SQL Injection POC
PrestaHome Blog for PrestaShop prior to version 1.7.8 is vulnerable to a SQL injection (blind) via the sb_category parameter. -
CVE-2021-37538: PrestaShop SmartBlog <4.0.6 - SQL Injection POC
PrestaShop SmartBlog by SmartDataSoft < 4.0.6 is vulnerable to a SQL injection vulnerability in the blog archive functionality. -
CVE-2021-41460: ECShop 4.1.0 - SQL Injection POC
ECShop 4.1.0 has SQL injection vulnerability, which can be exploited by attackers to obtain sensitive information. -
CVE-2021-41649: PuneethReddyHC Online Shopping System homeaction.php SQL Injection POC
An unauthenticated SQL injection vulnerability exists in PuneethReddyHC Online Shopping System through the /homeaction.php cat_id parameter. Using a post request does not sanitize the user input. -
CVE-2022-22897: PrestaShop AP Pagebuilder <= 2.4.4 - SQL Injection POC
A SQL injection vulnerability in the product_all_one_img and image_product parameters of the ApolloTheme AP PageBuilder component through 2.4.4 for PrestaShop allows unauthenticated attackers to exfiltrate database data. -
CVE-2022-29007: Dairy Farm Shop Management System 1.0 - SQL Injection POC
Dairy Farm Shop Management System 1.0 contains multiple SQL injection vulnerabilities via the username and password parameters in the Admin panel. An attacker can possibly obtain sensitive information from a database, modify data, and execute unauthorized administrative operations in the context of the affected site. -
CVE-2022-35493: eShop 3.0.4 - Cross-Site Scripting POC
eShop 3.0.4 contains a reflected cross-site scripting vulnerability in json search parse and json response in wrteam.in. -
CVE-2023-27032: PrestaShop AdvancedPopupCreator - SQL Injection POC
In the module “Advanced Popup Creator” (advancedpopupcreator) from Idnovate for PrestaShop, a guest can perform SQL injection in affected versions. -
CVE-2023-27637: PrestaShop `tshirtecommerce` Module - SQL Injection POC
The tshirtecommerce module for PrestaShop is vulnerable to unauthenticated SQL injection via the designer endpoint, allowing attackers to execute arbitrary SQL queries and extract sensitive information from the database. -
CVE-2023-27638: tshirtecommerce PrestaShop Module - SQL Injection POC
The tshirtecommerce module for PrestaShop is vulnerable to unauthenticated SQL injection via the tshirtecommerce_design_cart_id parameter, allowing attackers to execute arbitrary SQL queries and extract sensitive information from the database. This is due to lack of input sanitization, as shown in the patch where pSQL() is now used. -
CVE-2023-27639: PrestaShop TshirteCommerce - Directory Traversal POC
The Custom Product Designer (tshirtecommerce) module for PrestaShop allows HTTP requests to be forged using POST and GET parameters, enabling a remote attacker to perform directory traversal on the system and view the contents of code files. -
CVE-2023-27640: PrestaShop tshirtecommerce - Directory Traversal POC
The Custom Product Designer (tshirtecommerce) module for PrestaShop allows HTTP requests to be forged using POST and GET parameters, enabling a remote attacker to perform directory traversal on the system and view the contents of code files. -
CVE-2023-27847: PrestaShop xipblog - SQL Injection POC
In the blog module (xipblog), an anonymous user can perform SQL injection. Even though the module has been patched in version 2.0.1, the version number was not incremented at the time. -
CVE-2023-30150: PrestaShop leocustomajax 1.0 & 1.0.0 - SQL Injection POC
PrestaShop leocustomajax 1.0 and 1.0.0 are vulnerable to SQL Injection via modules/leocustomajax/leoajax.php. -
CVE-2023-30192: PrestaShop 'possearchproducts' <= 1.7 - SQL Injection POC
In the module “Search Products” (possearchproducts) from PosThemes for PrestaShop, a guest can perform SQL injection in affected versions. -
CVE-2023-39650: PrestaShop Theme Volty CMS Blog - SQL Injection POC
In the module 'Theme Volty CMS Blog' (tvcmsblog) up to versions 4.0.1 from Theme Volty for PrestaShop, a guest can perform SQL injection in affected versions. -
CVE-2023-39676: PrestaShop fieldpopupnewsletter Module - Cross Site Scripting POC
Fieldpopupnewsletter Prestashop Module v1.0.0 was discovered to contain a reflected cross-site scripting (XSS) vulnerability via the callback parameter at ajax.php. -
CVE-2023-39677: PrestaShop MyPrestaModules - PhpInfo Disclosure POC
PrestaShop modules by MyPrestaModules expose PHPInfo -
CVE-2023-45375: PrestaShop PireosPay - SQL Injection POC
In the module “PireosPay” (pireospay) up to version 1.7.9 from 01generator.com for PrestaShop, a guest can perform SQL injection in affected versions. -
CVE-2023-46347: PrestaShop Step by Step products Pack - SQL Injection POC
In the module “Step by Step products Pack” (ndk_steppingpack) up to 1.5.6 from NDK Design for PrestaShop, a guest can perform SQL injection in affected versions. -
CVE-2024-0352: Likeshop < 2.5.7.20210311 - Arbitrary File Upload POC
A vulnerability classified as critical was found in Likeshop up to 2.5.7.20210311. This vulnerability affects the function FileServer::userFormImage of the file server/application/api/controller/File.php of the component HTTP POST Request Handler. The manipulation of the argument file with an unknown input leads to a unrestricted upload vulnerability. The CWE definition for the vulnerability is CWE-434 -
CVE-2024-36683: PrestaShop productsalert - SQL Injection POC
In the module 'Products Alert' (productsalert) up to version 1.7.4 from Smart Modules for PrestaShop, a guest can perform SQL injection in affected versions. -
CVE-2025-27892: Shopware < 6.5.8.13 - SQL Injection POC
The Shopware application API contains a search functionality which enables users to search through information stored within their Shopware instance. The searches performed by this function can be aggregated using the parameters in the "aggregations" object. The name field in this "aggregations" in nested object is vulnerable SQL-injection and can be exploited using SQL parameters. -
CVE-2025-29085: Vipshop Saturn Console <= 3.5.1 - SQL Injection via ClusterKey Component POC
SQL injection vulnerability in vipshop Saturn v.3.5.1 and before allows a remote attacker to execute arbitrary code via /console/dashboard/executorCount?zkClusterKey component. -
Campcodes Online Shopping Portal 注入漏洞 无POC
CampCodes Online Shopping Portal是CampCodes公司的一个网上购物门户。 Campcodes Online Shopping Portal 1.0版本存在注入漏洞,该漏洞源于文件/admin/category.php对参数Category处理不当,可能导致SQL注入。 -
Xinference /ui 未授权访问漏洞 无POC
Xorbits Inference(Xinference)是一个性能强大且功能全面的分布式推理框架。用于大语言模型(LLM),语音识别模型,多模态模型等各种模型的推理,可用于简化各种 AI 模型的运行和集成。若启动命令配置不当则会在公网地址造成未授权访问。 -
Code-Projects Shopping Portal 注入漏洞 无POC
Code-Projects Shopping Portal是Code-Projects开源的一个购物网站。 Code-Projects Shopping Portal 1.0版本存在注入漏洞,该漏洞源于对参数 password 的错误操作会导致 sql 注入。 -
PHPGurukul Online Shopping Portal 注入漏洞 无POC
PHPGurukul Online Shopping Portal是PHPGurukul公司的一个在线商店。 PHPGurukul Online Shopping Portal 2.1版本存在注入漏洞,该漏洞源于result.php参数存在SQL注入。 -
WordPress plugin brodos.net Onlineshop Plugin 跨站脚本漏洞 无POC
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin brodos.net Onlineshop Plugin 2.0.2版本及之前版本存在跨站脚本漏洞,该漏洞源于BrodosCategory函数包含一个存储型跨站脚本漏洞。 -
Adobe Photoshop 数字错误漏洞 无POC
Adobe Photoshop是美国奥多比(Adobe)公司的一套图片处理软件。该软件主要用于处理图片。 Adobe Photoshop 25.12、26.1版本之前存在数字错误漏洞,该漏洞源于包含一个整数下溢漏洞。 -
DbShop商城任意文件上传漏洞 无POC
文件上传漏洞发生在应用程序允许用户上传文件的功能中,如果上传功能未能正确地验证和限制上传文件的类型和内容,攻击者可能利用此漏洞上传恶意文件,如包含可执行代码的脚本文件,从而在服务器上执行任意命令,控制或破坏系统。 -
DbShop商城系统弱口令漏洞 无POC
弱口令漏洞指的是系统中使用了简单、容易猜测或常见的密码,导致攻击者可以通过猜测或暴力破解的方式轻易获取账户权限,进而访问或控制受影响的系统资源。这种漏洞通常由于缺乏有效的密码策略或用户对安全意识的忽视造成。 -
PHPGurukul Online Shopping Portal 跨站脚本漏洞 无POC
PHPGurukul Online Shopping Portal是PHPGurukul公司的一个在线商店。 PHPGurukul Online Shopping Portal 2.0版本存在跨站脚本漏洞,该漏洞源于对参数scripts的错误操作会导致跨站点脚本攻击。 -
PHPGurukul Online Shopping Portal 跨站脚本漏洞 无POC
PHPGurukul Online Shopping Portal是PHPGurukul公司的一个在线商店。 PHPGurukul Online Shopping Portal 2.0版本存在跨站脚本漏洞,该漏洞源于对参数scripts的错误操作会导致跨站点脚本攻击。 -
PHPGurukul Online Shopping Portal 跨站脚本漏洞 无POC
PHPGurukul Online Shopping Portal是PHPGurukul公司的一个在线商店。 PHPGurukul Online Shopping Portal 2.0版本存在跨站脚本漏洞,该漏洞源于对参数scripts的错误操作会导致跨站点脚本攻击。 -
PHPGurukul Online Shopping Portal 跨站脚本漏洞 无POC
PHPGurukul Online Shopping Portal是PHPGurukul公司的一个在线商店。 PHPGurukul Online Shopping Portal 2.0版本存在跨站脚本漏洞,该漏洞源于对参数value的错误操作会导致跨站点脚本攻击。 -
Codezips Pet Shop Management System SQL注入漏洞 无POC
Codezips Pet Shop Management System是Codezips开源的一个宠物店管理系统。 Codezips Pet Shop Management System 1.0版本存在SQL注入漏洞,该漏洞源于参数id存在SQL注入。 -
Codezips Pet Shop Management System SQL注入漏洞 无POC
Codezips Pet Shop Management System是Codezips开源的一个宠物店管理系统。 Codezips Pet Shop Management System 1.0版本存在SQL注入漏洞,该漏洞源于/deletebird.php文件中的t1参数处理不当导致SQL注入。 -
Codezips Pet Shop Management System SQL注入漏洞 无POC
Codezips Pet Shop Management System是Codezips开源的一个宠物店管理系统。 Codezips Pet Shop Management System 1.0版本存在SQL注入漏洞,该漏洞源于/animalsupdate.php文件中的id参数处理不当导致SQL注入。 -
Codezips Pet Shop Management System SQL注入漏洞 无POC
Codezips Pet Shop Management System是Codezips开源的一个宠物店管理系统。 Codezips Pet Shop Management System 1.0版本存在SQL注入漏洞,该漏洞源于/deleteanimal.php文件中的t1参数处理不当导致SQL注入。 -
Codezips Pet Shop Management System SQL注入漏洞 无POC
Codezips Pet Shop Management System是Codezips开源的一个宠物店管理系统。 Codezips Pet Shop Management System 1.0版本存在SQL注入漏洞,该漏洞源于/animalsadd.php文件中的id参数处理不当导致SQL注入。 -
Coreshop核心商城系统权限绕过漏洞 无POC
鉴权绕过漏洞是指攻击者通过某些手段绕过系统的正常权限验证机制,获取未授权的访问或执行权限。这种漏洞通常存在于身份验证、授权检查、权限控制等环节的不足或缺陷中,使得未经授权的用户能够访问或操作敏感数据、执行关键操作,甚至获取系统控制权。 -
PrestaShop xipblog存在SQL注入漏洞(CVE-2023-27847) 无POC
PrestaShop 是一个功能丰富,基于 PHP5 开发的 Web2.0 网上购物系统。PrestaShop xipblogv.2.0.1及之前版本中发现的SQL注入漏洞,攻击者可以通过该漏洞获取服务器敏感信息,进而控制整个服务器。 -
SparkShop /uploadFile 文件上传漏洞 无POC
SparkShop商城是一个基于thinkphp6 + elementui的开源免费可商用的高性能商城系统。该系统支持多种商城形式,包括小程序商城、H5商城、公众号商城、PC商城以及App商城,并且支持页面DIY、秒杀、优惠券、积分、分销、会员等级等多种营销功能。其 uploadFile 接口存在任意文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 -
SparkShop开源商城 uploadFile 存在任意文件上传漏洞 无POC
SparkShop开源商城是由南京星远图科技有限公司基于thinkPHP6 + elementui + uniapp 开发的全栈开源商城系统。该系统uploadFile 接口存在任意文件上传漏洞,未经身份验证的攻击者可以上后门文件造成远程代码执行 -
Adobe Photoshop 资源管理错误漏洞 无POC
Adobe Photoshop是美国奥多比(Adobe)公司的一套图片处理软件。该软件主要用于处理图片。 Adobe Photoshop 24.7.3之前的24.x版本、25.9.1之前的25.x版本存在资源管理错误漏洞,该漏洞源于受到释放后重用的影响,可能导致在当前用户的上下文中执行任意代码。 -
Likeshop /api/file/formimage 文件上传漏洞(CVE-2024-0352) 无POC
Likeshop 2.5.7.20210311 存在一处安全漏洞,被分类为严重级别。该漏洞影响 HTTP POST 请求处理组件的 file server/application/api/controller/File.php 的函数 FileServer::userFormImage。攻击者可以通过对参数 file 的篡改来实现未受限的文件上传。 -
SparkShop /api/Common/uploadFile 任意文件上传漏洞 无POC
南京星宇图科技SparkShop在版本1.1.6中发现了一个严重漏洞。该漏洞影响文件/api/Common/uploadFile的某些未知处理过程。由于参数文件操作不当,导致上传不受限制,攻击者可构造恶意请求上传webshell,执行任意命令。 -
MyPrestaModules Prestashop Module CVE-2023-39677 信息泄露漏洞 无POC
PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案。MyPrestaModules Prestashop Module v6.2.9版本存在信息泄露漏洞,此漏洞是由于send.php接口对用户的请求验证不当导致的。 -
PrestaShop Responsive Mega Menu 远程代码注入漏洞 无POC
PrestaShop(网上购物系统) Responsive Mega Menu 存在远程代码注入漏洞。该漏洞是由于应用程序对用户输入的恶意数据过滤不足导致的。 -
PrestaShop CVE-2024-25843 SQL注入漏洞 无POC
PrestaShop是一套开源的电子商务解决方案。PrestaShop中存在SQL注入漏洞,此漏洞是由于程序未充分验证用户输入的参数value_setting的值所导致的。 -
Niushop CMS UploadFile 任意文件上传漏洞 无POC
Niushop CMS中存在任意文件上传漏洞,此漏洞是由于未充分验证用户输入的数据所导致的。 -
Niushop CMS promotionZone SQL注入漏洞 无POC
Niushop CMS中存在SQL注入漏洞,此漏洞是由于未充分验证用户输入promotionZone的数据所导致的。 -
Niushop CMS getGoodsListByKeyWord SQL注入漏洞 无POC
Niushop CMS中存在SQL注入漏洞,此漏洞是由于未充分验证用户输入getGoodsListByKeyWord的数据所导致的。 -
Likeshop 商城系统 formImage 任意文件上传漏洞 无POC
Likeshop 商城系统存在任意文件上传漏洞,此漏洞是formImage对请求中的参数数据验证不足导致的。 -
EShop CVE-2022-35493 跨站脚本漏洞 无POC
-
ECShop 2.x 3.0 代码执行漏洞 无POC
-
Likeshop FormImage 任意文件上传漏洞 无POC
Likeshop up to 2.5.7.20210311 存在一处安全漏洞,被分类为严重级别。该漏洞影响 HTTP POST 请求处理组件的 file server/application/api/controller/File.php 的函数 FileServer::userFormImage。攻击者可以通过对参数 file 的篡改来实现未受限的文件上传。 -
DSShop单店铺移动商城网店系统存在反序列化漏洞 无POC
DSShop是长沙德尚网络科技有限公司推出的一款单店铺移动商城网店系统,DSShop单店铺移动商城网店系统存在反序列化漏洞 -
likeshop单商户商城系统 formImage 任意文件上传 无POC
likeshop单商户标准商城系统适用于B2C、单商户、自营商城场景。完美契合私域流量变现闭环交易使用。系统拥有丰富的营销玩法,强大的分销能力,支持电子面单和小程序直播等功能。formImage接口存在任意文件上传漏洞,由于系统对用户上传的文件类型未作任何过滤和限制,未授权的攻击者可以通过此接口上传恶意后门文件获取服务器信息或权限 -
ShopsN commentUpload 路径文件上传漏洞 无POC
ShopsN 是一款符合企业级商用标准全功能的真正允许免费商业用途的开源网店全网系统。攻击者可以利用文件上传漏洞执行恶意代码、写入后门、读取敏感文件,从而可能导致服务器受到攻击并被控制。 -
PrestaShop leocustomajax leoajax.php存在sql注入漏洞(CVE-2023-30150) 无POC
PrestaShop是一款针对web2.0设计的全功能、跨平台的免费开源电子商务解决方案,在leocustomajax1.0存在sql注入,攻击者可通过注入获取敏感信息。 -
ShopsN商城系统 /index.php/Home/AppUpload/commentUpload 任意文件上传漏洞 无POC
ShopsN商城系统 /index.php/Home/AppUpload/commentUpload 存在任意文件上传漏洞 -
TPshop API接口存在前台SQL注入(CVE-2020-18164) 无POC
TPshop是商联达多用户商城系统 ,新零售智慧电商生态系统 TPshop存在安全漏洞,攻击者可利用此漏洞获取数据库敏感信息。 -
shopro商城存在sql注入漏洞(CVE-2022-35154) 无POC
Shopro商城系统是又PHP语言开发,在v1.3.8版本中存在sql注入漏洞。 -
PrestaShop商城存在sql注入漏洞(CVE-2023-30194) 无POC
PrestaShop 是一个功能丰富,基于 PHP5 开发的 Web2.0 网上购物系统。该系统存在sql注入漏洞 -
TPshop /test/dlfile 路径存在任意文件上传漏洞 无POC
TPshop /test/dlfile 路径存在任意文件上传漏洞 -
Hishop易分销系统 /Brand.aspx 路径存在SQL注入漏洞 无POC
Hishop易分销系统 /Brand.aspx 路径存在SQL注入漏洞 -
Hishop易分销系统 /wapshop/productlist.aspx 路径存在SQL注入漏洞 无POC
Hishop易分销系统 /wapshop/productlist.aspx 路径存在SQL注入漏洞 -
Niushop开源商城系统index.php文件category_id参数-SQL注入 无POC
Niushop开源商城系统category_id参数存在SQL注入 -
Leadshop商城系统-远程命令执行(CVE-2022-4136) 无POC
Leadshop商城系统由于开发者过滤不严,导致可以未授权命令执行 -
ecshop3.x 代码执行 无POC
问题发生在user.php的display函数,模版变量可控,导致注入,配合注入可达到远程代码执行 -
yii2_fecshop 跨站脚本漏洞 无POC
yii2_fecshop是一个应用系统。基于php Yii2框架之上开发的一款优秀的开源电商系统。 yii2_fecshop 2.x版本存在安全漏洞,该漏洞源于在购物车页面中有一个反映的XSS漏洞。 -
shopXO 1.8.1 任意文件读取漏洞 无POC
shopXO 1.8.1 任意文件读取漏洞 -
Thinkphp Shop 前台 SQL 注入漏洞 无POC
TPshop开源商城系统( Thinkphp shop的简称 ),是深圳搜豹网络有限公司开发的一套多商家模式的商城系统。适合企业及个人快速构建个性化网上商城。包含PC+IOS客户端+Adroid客户端+微商城,系统PC+后台是基于ThinkPHP MVC构架开发的跨平台开源软件,设计得非常灵活,具有模块化架构体系和丰富的功能,易于与第三方应用系统无缝集成,在设计上,包含相当全面,以模块化架构体系,让应用组合变得相当灵活,功能也相当丰富。 其历史版本存在一处 SQL 注入漏洞 -
ecshop2.x 代码执行 无POC
问题发生在user.php的display函数,模版变量可控,导致注入,配合注入可达到远程代码执行 -
ECShop 4.1.0 delete_cart_goods.php文件id参数SQL注入漏洞 无POC
ECShop是一款专业的电商商城系统,跨平台开源程序,源码支持免费下载!ECShop可以快速构建PC+微商城+APP+小程序等多终端商城,并支持二次开发定制化商城。其中ECShop 4.1.0delete_cart_goods.php文件id参数存在SQL注入漏洞,攻击者可通过构造sql语句获取数据库信息,甚至通过该漏洞获取服务器权限。如存在该漏洞,请前往https://www.ecshop.com/,登录注册下载,最新版本为4.1.1(已修复)。 -
ShopNC microshop/index.php-SQL注入 无POC
【漏洞对象】ShopNC 【漏洞描述】 前ShopNC台存在SQL注入漏洞,可造成信息数据泄露,攻击者可利用该漏洞执行SQL指令,甚至入侵服务器。 -
ShopNum1_HelpList_sqli 无POC
【漏洞对象】ShopNum1 【漏洞描述】该系统存在sql注入漏洞,被SQL注入后可能导致网页被篡改;数据被篡改;核心数据被窃取;数据库所在服务器被攻击变成傀儡主机等。 -
xpshop网店系统show.aspx-SQL注入 无POC
【漏洞对象】xpshop网店系统 【漏洞描述】该系统show.aspx文件存在sql注入漏洞,被SQL注入后可能导致网页被篡改;数据被篡改;核心数据被窃取;数据库所在服务器被攻击变成傀儡主机等。 -
xpshop网店系统preview.aspx-SQL注入 无POC
【漏洞对象】xpshop网店系统 【漏洞描述】该系统preview.aspx文件存在sql注入漏洞,被SQL注入后可能导致网页被篡改;数据被篡改;核心数据被窃取;数据库所在服务器被攻击变成傀儡主机等。 -
TPshop v2.0.8 dlfile-获得Shell 无POC
【漏洞对象】Tpshop 【涉及版本】v2.0.8 【漏洞描述】 导致黑客可以上传恶意文件到服务器,获取服务器权限。 -
TPshop全版本-SQL注入 无POC
【漏洞对象】TPshop 【漏洞描述】 黑客可以直接执行SQL语句,从而控制整个服务器:获取数据、修改数据、删除数据等。 -
TPshopcms preview-获得Shell 无POC
【漏洞对象】TPshopcms preview 【漏洞描述】 导致黑客可以上传恶意文件到服务器,获取服务器权限。 -
TPshop index.php file_url参数-远程文件包含 无POC
【漏洞对象】TPshop 【漏洞描述】 攻击者可利用漏洞远程写入有害的远程内容,影响程序运行。 -
Shopsn-任意文件上传 无POC
【漏洞对象】Shopsn 【漏洞描述】 导致黑客可以上传恶意文件到服务器,获取服务器权限。 -
ShopEX tools-SQL注入 无POC
【漏洞对象】ShopEX 【漏洞描述】 该应用存在sql注入漏洞。 -
ShopEx后台登陆页面-SQL注入 无POC
【漏洞对象】ShopEX 【漏洞描述】 该应用对登录时传递的某参数未做过滤,导致注入的产生。 -
ShopEX cart-ajaxadd-SQL注入 无POC
【漏洞对象】ShopEX 【漏洞描述】 该应用添加商品分类模块对参数未过滤,导致SQL注入漏洞。 -
ShopEX api p_region_id-SQL注入 无POC
【漏洞对象】ShopEX 【漏洞描述】 该应用API接口存在sql注入漏洞。 -
ShopEX API-获得Shell 无POC
【漏洞对象】ShopEX 【漏洞描述】 黑客可以直接执行SQL语句,从而控制整个服务器:获取数据、修改数据、删除数据等。 -
ShopEX api columns-SQL注入 无POC
【漏洞对象】ShopEX 【漏洞描述】 该应用API接口存在sql注入漏洞。 -
ShopEX api catid-SQL注入 无POC
【漏洞对象】ShopEX 【漏洞描述】 黑客可以直接执行SQL语句,从而控制整个服务器:获取数据、修改数据、删除数据等。 -
ShopEx网上商店系统API接口-SQL注入 无POC
【漏洞对象】ShopEX 【漏洞描述】 该应用API接口的get_spec_single函数对用户可控参数未作过滤,导致SQL注入漏洞。 -
ShopEX-本地文件包含漏洞 无POC
【漏洞对象】ShopEX api 【漏洞描述】 shopex中shop_api.php文件中$act参数未过滤导致文件包含漏洞。 -
ShopEX api-本地包含漏洞 无POC
【漏洞对象】ShopEX api 【漏洞描述】 shopex中shop_api.php文件存在本地包含漏洞。 -
ShopEX 4.8.5-SQL注入 无POC
【漏洞对象】ShopEX 【涉及版本】4.8.5 【漏洞描述】 该应用在此版本存在SQL注入。 -
Shop7z-SQL注入 无POC
【漏洞对象】Shop7z 【漏洞描述】 黑客可以直接执行SQL语句,从而控制整个服务器:获取数据、修改数据、删除数据等。 -
Shop7Z Advsearchadmin.asp-SQL注入 无POC
【漏洞对象】Shop7Z【 漏洞描述】该应用Advsearchadmin.asp文件存在SQL注入漏洞。 -
Niushop-任意文件包含漏洞 无POC
【漏洞对象】Niushop 【漏洞描述】 黑客可以利用漏洞包含恶意文件,导致攻击者在服务器端任意执行代码,进而控制整个web服务器。 -
Niushop B2B2C商城系统index.php文件order参数-SQL注入 无POC
【漏洞对象】Niushop牛酷B2B2C商城系统 【漏洞描述】 该产品/index.php文件order参数存在sql注入,可造成数据泄露,甚至服务器被入侵。 -
Niushop B2B2C商城系统index.php文件sort参数-SQL注入 无POC
【漏洞对象】Niushop牛酷B2B2C商城系统 【漏洞描述】 该产品index.php文件sort参数存在SQL注入,可造成数据泄露,甚至服务器被入侵。 -
iWebShop开源商场系统index.php-SQL注入 无POC
【漏洞对象】iWebShop开源商场系统 【漏洞描述】该产品下index.php文件specJSON参数sql注入,可造成数据库信息被泄露,甚至服务全部被入侵。 -
fshop文件路径泄露 无POC
fshop_filepath_disclouser -
ECShop 本地文件包含漏洞 无POC
【漏洞对象】ECShop 【漏洞描述】 该系统的js/calendar.php在加载本地日历代码时存在一个文件包含漏洞。 -
ECShop user.php-宽字节注入漏洞 无POC
【漏洞对象】ECShop 【涉及版本】2.7.3 【漏洞描述】该系统网站根目录下的user.php代码,在调用远程函数的同时display赋值的地方可以直接插入恶意的sql注入语句,导致可以查询mysql数据库里的内容并写入数据到网站配置文件当中,或者可以让数据库远程下载文件到网站目录当中去。 -
ECShop search.php-SQL注入 无POC
【漏洞对象】EPShop 【漏洞描述】该系统'Search.php'脚本对用户提交给encode参数的数据在用于SQL查询前缺少过滤,导致的sql注入漏洞,获得敏感信息或操作数据库。 -
ECShop GBK版本宽字符-SQL注入 无POC
【漏洞对象】ECShop 【涉及版本】GBK版本 【漏洞描述】 该系统GBK版本存在高危SQL注入漏洞,黑客利用此漏洞可获得管理员账号密码,窃取网站数据。 -
ECSHOP flow存-SQL注入 无POC
【漏洞对象】ECShop 【漏洞描述】 该系统flow.php页面存在sql注入漏洞。 -
ECShop 支付宝插件-SQL注入 无POC
【漏洞对象】ECShop 【漏洞描述】 由于使用了str_replace函数做字符串替换,导致能绕过单引号的限制构造出sql注入语句。 -
ecshop 3.6-SQL注入 无POC
【漏洞对象】Ecshop 【涉及版本】3.6 【漏洞描述】 ecshop 3.6存在sql注入漏洞。 -
ECShop开源网店系统2.xuser.php-任意代码执行 无POC
【漏洞对象】Ecshop开源网店系统 【涉及版本】2.x 【漏洞描述】 user.php文件任意代码执行,可导致攻击者在服务器端任意执行代码。 -
DBShop电子商务系统v1.3-SQL注入B 无POC
DBShop电子商务系统最新版v1.3版本sql注入,可能造成数据泄漏,甚至服务器被入侵。 -
DBShop电子商务系统v1.3-SQL注入A 无POC
【漏洞对象】DBShop电子商务系统 【涉及版本】DBShop v1.3 【漏洞描述】 DBShop电子商务系统v1.3版本存在sql注入漏洞,可造成数据泄漏,甚至服务器被入侵。 -
TPshop 2.0.8 前台-SQL注入 无POC
【漏洞对象】TPshop 【涉及版本】TPshop 2.0.8 【漏洞描述】 TPshop开源商城系统( Thinkphp shop的简称),是深圳搜豹网络有限公司开发的一套多商家模式的商城系统。适合企业及个人快速构建个性化网上商城。该系统2.0.8版本id参数存在前台sql注入漏洞,可能造成数据泄露,甚至服务器被入侵。 -
TPshop- 获得Shell 无POC
【漏洞对象】TPshop 【涉及版本】TPshop 【漏洞描述】 TPshop可获得shell,执行任意命令。 -
ShopNC-SQL注入 无POC
【漏洞对象】ShopNC 【涉及版本】ShopNC 【漏洞描述】 SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。 -
ShopNum1_sqli_VideoSearchList_aspx-SQL注入 无POC
【漏洞对象】ShopNum1 【涉及版本】ShopNum1 【漏洞描述】ShopNum1的VideoSearchList.aspx存在sql注入,获取数据库敏感信息。 -
ShopNum1_VideoDetail.aspx-SQL注入 无POC
【漏洞对象】ShopNum1 【涉及版本】ShopNum1 【漏洞描述】ShopNum1的VideoDetail.aspx文件存在sql注入,可读取数据库敏感信息。 -
ShopNum1_ArticleDetail.aspx-SQL注入 无POC
【漏洞对象】ShopNum1 【涉及版本】ShopNum1 【漏洞描述】ShopNum1的ArticleDetail.aspx文件存在sql注入,可读取数据库相关信息。 -
ShopNC index.php?out_trade_no-SQL注入 无POC
【漏洞对象】ShopNC 【漏洞描述】 ShopNC index.php?out_trade_no处存在SQL注入漏洞。 -
ShopNC index.php?act=payment&op=notify-SQL注入 无POC
【漏洞对象】ShopNC 【漏洞描述】 ShopNC index.php?act=payment&op=notify处存在SQL注入漏洞。 -
ShopNC index.php?name-SQL注入 无POC
【漏洞对象】ShopNC 【漏洞描述】 ShopNC index.php?name处存在SQL注入漏洞。 -
ShopBuilder系统ptype参数-SQL注入 无POC
【漏洞对象】ShopBuilder系统 【漏洞描述】 ShopBuilder系统ptype参数存在SQL注入漏洞,造成数据泄露等危害 -
Shop7Z lipinadd.asp-越权访问 无POC
【漏洞对象】Shop7Z 【漏洞描述】 Shop7Z的 lipinadd.asp文件存在越权访问,如果服务器具有解析漏洞则攻击者可以通过上传恶意代码到服务器,对服务器进行修改甚至完全控制服务器。 -
Niushop开源商城系统index.php文件order参数-SQL注入 无POC
【漏洞对象】Niushop开源商城 【漏洞描述】NIUSHOP牛酷开源商城系统index.php文件中由于商品价格参数未充分过滤导致order参数存在SQL注入漏洞,攻击者可以利用该漏洞获取数据库账户和密码等信息。 -
Hishop系统productlist.aspx-SQL注入 无POC
【漏洞对象】HiShop易分销系统 【漏洞描述】 Hishop系统productlist.aspx存在SQL注入漏洞,可造成数据泄露,甚至服务器被入侵。 -
Hishop易分销系统 Brand.aspx-SQL注入 无POC
【漏洞对象】HiShop易分销系统 【漏洞描述】 Hishop易分销系统的Brand.aspx存在SQL注入漏洞,可造成数据泄露,甚至服务器被入侵。 -
HiShop易分销系统SubCategory.aspx-SQL注入 无POC
【漏洞对象】HiShop易分销系统 【漏洞描述】HiShop易分销系统SubCategory.aspx文件中的TagIds参数存在sql注入漏洞,可造成数据泄露,甚至服务器被入侵。 -
Car Workshop System- deletePO SQL注入 无POC
【漏洞对象】Car Workshop System 【涉及版本】Car Workshop System 【漏洞描述】 Car Workshop System存在SQL注入漏洞,造成数据库信息泄露。 -
Car Workshop System-SQL注入 无POC
【漏洞对象】Car Workshop System 【涉及版本】Car Workshop System 【漏洞描述】 Car Workshop System存在SQL注入漏洞,造成数据库信息泄露。 -
7-Shop 'imageupload.php'任意文件上传漏洞 无POC
7Shop是一个简单而全面的在线商店系统。 7Shop1.1版本及其早期版本的includes/imageupload.php中存在无限制文件上传漏洞。远程攻击者通过上传一个具有可执行跨战幕的文件并通过对images/artikel/的文件提交一个直接的请求来访问该文件,以执行任意代码。 -
FreeHostShop Website Generator任意文件上传漏洞 无POC
Free Host Shop Website Generator 3.3可使具有管理权限的远程认证用户借助formname参数(具有包含危险文件扩展名以及%00后缀的文件名)上传并执行任意文件。