中新網安安全研究院2017年1月安全報告


TPshop開源商城系統v1.2.9審計報告

1488098780430279.png

 

一、漏洞情況分析

此套開源系統基于Thinkphp開發框架開發, 程序存在多處SQL注入等高危漏洞。CNVD 測試結果表明,該漏洞無需任何特權信息或身份驗證,就可以獲得數據庫所有的信息、用戶名與密碼等信息,進一步利用可威脅到服務器的安全。

  

二、漏洞影響范圍

CNVD 對該漏洞的綜合評級為“高?!?。

1490171463306046.png

受該漏洞影響的產品包括:Tpshop V1.2.9版本。目前,根據CNVD 合作伙伴以及相關白帽子的測試結果,一些互聯網電商企業的網站服務器受到影響。由于此套開源系統免費下載,因此對服務提供商以及用戶造成的威脅范圍將會進一步擴大?;チ弦丫魷至蘇攵愿寐┒吹墓セ骼么?,預計在近期針對該漏洞的攻擊將呈現激增趨勢。

  

三、漏洞處置建議

目前,Tpshop2.0版本已發布,官方已修復該漏洞。CNVD 建議相關用戶及時下載使用。如無法及時升級,可參考修改程序加入防注入代碼。

相關安全公告鏈接參考如下:

//www.cnvd.org.cn/flaw/show/CNVD-2016-11222

 

附:國家互聯網應急中心和國家信息安全漏洞共享平臺簡介

國家互聯網應急中心(CNCERT)成立于1999年9月,是工業和信息化部領導下的國家級網絡安全應急機構,致力于建設國家級的網絡安全監測中心、預警中心、應急中心,以支撐政府主管部門履行網絡安全相關的社會管理和公共服務職能,支持基礎信息網絡的安全防護和安全運行,支援重要信息系統的網絡安全監測、預警和處置。

國家信息安全漏洞共享平臺(CNVD)是由CNCERT聯合國內重要信息系統單位、基礎電信運營商、網絡安全廠商、軟件廠商和互聯網企業建立的信息安全漏洞信息共享知識庫。其主要目標即與國家政府部門、重要信息系統用戶、運營商、主要安全廠商、軟件廠商、科研機構、公共互聯網用戶等共同建立軟件安全漏洞統一收集驗證、預警發布及應急處置體系,切實提升我國在安全漏洞方面的整體研究水平和及時預防能力,進而提高我國信息系統及國產軟件的安全性,帶動國內相關安全產品的發展。