VULHUB ™

Silverstripe是新西兰SilverStripe公司开发的一套自由且开源的内容管理系统。e-commerce是其中的一个电子商务模块。 e-commerce包含的_functions.php脚本可包含远程文件，远程攻击者可以利用这个漏洞以WEB进程权限在系统上执行任意命令。 _functions.php包含如下有问题代码： require_once(\"{$prefix}_config.php\"); require_once(\"{$prefix}_gateways.php\"); 由于对$prefix变量缺少充分过滤，攻击者可以指定远程服务器上的文件作为包含文件，可导致以WEB权限执行攻击者提供的恶意PHP命令。

Silverstripe是新西兰SilverStripe公司开发的一套自由且开源的内容管理系统。e-commerce是其中的一个电子商务模块。 e-commerce包含的_functions.php脚本可包含远程文件，远程攻击者可以利用这个漏洞以WEB进程权限在系统上执行任意命令。 _functions.php包含如下有问题代码： require_once(\"{$prefix}_config.php\"); require_once(\"{$prefix}_gateways.php\"); 由于对$prefix变量缺少充分过滤，攻击者可以指定远程服务器上的文件作为包含文件，可导致以WEB权限执行攻击者提供的恶意PHP命令。