安全补丁 2008.07.10

[Jack]

用于修复新发现的Zen Cart几个管理页面的本地文件调用漏洞(漏洞公布于2008年7月10日)

这些文件是
admin/includes/initsystem.php
admin/includes/languages/english.php
admin/includes/languages/schinese.php

我们觉得不可能利用这些漏洞来调用本地或远程文件。
最坏情况是，可以利用漏洞来查看目标主机的本地文件路径。

要利用这个漏洞，还需要知道Zen Cart管理页面的地址。我们在Zen Cart的安装说明中，就有指出安装Zen Cart时，要修改默认的管理页面目录。

修复漏洞的方法：
打开上面提到的三个文件，在每个文件开始（<?php 的后面）加上以下代码：

代码: 全选

if (!defined('IS_ADMIN_FLAG')) {
  die('Illegal Access');
}

－－－ 附加说明 －－－
对于版本 v1.3.8之前的版本，没有 initsystem.php 文件，只要改 english.php 和 schinese.php 两个文件

对于版本 v1.2.x，以上修改会造成管理页面错误，请先升级到最新版本。

[nashliu]

谢谢jack的通知，做电子商务的最怕出安全问题

[cathy729]

摘走了
谢谢老大

[lxhua88]

更新及时哦

[roooot]

已经补上了 谢谢jack

[xlr413]

补了。永远支持

[kkk5030]

顶顶顶顶

[xiazhi56]

歇息宅坛主

[勇敢的心]

我很怕改这些代码，如果改了admin路径是不是就不用再改那些文件代码呢？

[lh]

得赶紧修改！