10秒后自動關(guān)閉
ECShop最新SQL注入漏洞(CNVD-2025-03740)

ECShop是一款開源的電子商務(wù)系統(tǒng),專為中小企業(yè)及個人提供快速搭建在線商店的解決方案。它基于PHP和MySQL開發(fā),支持多語言、多貨幣和多支付方式,適用于全球化電商業(yè)務(wù)。ECShop提供豐富的模板和插件,用戶可輕松定制店鋪外觀和功能。系統(tǒng)內(nèi)置商品管理、訂單處理、會員管理、促銷工具等功能,并支持SEO優(yōu)化,幫助提升搜索引擎排名。其開源特性允許開發(fā)者根據(jù)需求進行二次開發(fā),擴展性強。ECShop以其易用性、靈活性和穩(wěn)定性,成為許多電商創(chuàng)業(yè)者的首選平臺。


國家信息安全漏洞共享平臺于2025-02-13公布該程序存在代碼注入漏洞。

漏洞編號:CNVD-2025-03740

影響產(chǎn)品:ECShop

漏洞級別

公布時間:2025-02-13

漏洞描述:國家信息安全漏洞共享平臺未公布具體漏洞位置,僅提醒ECShop存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。


解決辦法:

廠商已發(fā)布新版本修復(fù)漏洞,請廣大用戶及時下載更新:http://update.shopex.com.cn/version/program/ECShop/download_ecshop_utf8.php?mysoftware

為了更加安全,可以使用『護衛(wèi)神·防入侵系統(tǒng)』的“SQL注入防護”模塊來解決該注入漏洞,不止對該漏洞有效,對網(wǎng)站所有的SQL注入漏洞和跨腳本漏洞都可以防護。



1、SQL注入防護和XSS跨站攻擊防護

護衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護模塊(如圖一)除了攔截SQL注入,還可以攔截XSS跨站腳本(如圖二),一并解決ECShop的其他安全漏洞,攔截效果如圖三。


ECShop防護SQL注入攻擊

(圖一:ECShop防護SQL注入攻擊)



ECShop防護XSS跨站腳本攻擊

(圖二:ECShop防護XSS跨站腳本攻擊)



SQL注入攔截效果

(圖三:SQL注入攔截效果)



2、防篡改保護和后臺保護

如果對安全要求較高,還可以使用『護衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“篡改防護”模塊,對ECShop做防篡改保護。

在“篡改防護-添加CMS防護”(如圖四)。選擇網(wǎng)站目錄,安全模板選擇“ECShop安全模板”,并填寫正確的后臺地址,點擊“確定”按鈕,就添加好了。

護衛(wèi)神.防入侵系統(tǒng)內(nèi)置有ECShop的篡改防護規(guī)則,只需簡單設(shè)置即可解決,非常方便!

添加ECShop防篡改規(guī)則

(圖四:添加ECShop防篡改規(guī)則)



設(shè)置好以后,防入侵系統(tǒng)就會對后臺進行保護,訪問時需要先驗證授權(quán)密碼(如圖五),只有輸入了正確的密碼才能訪問。

網(wǎng)站后臺保護

(圖五:訪問后臺需要輸入授權(quán)密碼)