发布日期：2003-12-13
更新日期：2003-12-18

受影响系统：

osCommerce osCommerce 2.2 ms1

不受影响系统：

osCommerce osCommerce 2.2 ms2

描述：

---

BUGTRAQ  ID: 9211

osCommerce是一款在线电子购物解决方案。

osCommerce包含的create_account_process.php文件对用户提交数据缺少充分，远程攻击者可以利用这个漏洞进行SQL注入攻击，可修改数据库或者获得敏感信息。

create_account_process.php文件用于在新用户注册过程中对帐户信息进行验证，由于对用户提交的数据缺少充分过滤，攻击者可以通过在线编辑注册表单，提交恶意数据可绕过原来程序的逻辑，可导致修改数据库或者获得敏感信息。

<*来源：JeiAr （jeiar@kmfms.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=107152326922335&w=2
*>

建议：

---

厂商补丁：

osCommerce
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

osCommerce osCommerce 2.2 ms1:

osCommerce Upgrade oscommerce-2.2ms2.zip
http://easynews.dl.sourceforge.net/sourceforge/tep/oscommerce-2.2ms2.zip

浏览次数：4276
严重程度：0（网友投票）