关键漏洞信息 漏洞类型 SQL Injection in Product Details PHP Object Injection 漏洞描述 SQL Injection: - 在 方法中,通过 属性控制 子句,攻击者可以远程执行代码。 - 跟踪了内部函数调用链,从 方法到 方法,最终通过 方法削弱SQL注入。 PHP Object Injection: - 使用 函数进行对象注入,进而导致远程代码执行。 - 通过上传CSV文件利用管理员导入功能注入恶意对象。 漏洞影响 Pre-Auth Takeover: 无需验证即可接管OXID eShops。 Remote Code Execution: 在默认配置下,远程攻击者可以在服务器上执行代码。 漏洞时间表 总结 介绍了影响OXID eShop的漏洞,说明两处关键漏洞可以连锁导致远程控制店铺,强调持续安全测试重要性,并感谢厂商专业及时响应。建议用户升级最新版。