CubeCart

CubeCart是一個完整的電子商務購物車軟件解決方案程序。也就是一個購物車程序，有兩個版本，其中一個CubeCart3是免費的。CubeCart4高級平臺要 110 英鎊，而CubeCart5同樣也是付費的產品。CubeCart5.0.0現(xiàn)已通過其發(fā)行候選階段，現(xiàn)在可以在http://cp.cubecart.com購買。它已通過McAfee安全漏洞測試，適合現(xiàn)場制作網店。

CubeCart概況[ ]

• 授權協(xié)議：免費版、付費版
• 運行環(huán)境：PHP/Mysql/
• 官方網站：http://www.cubecart.com/
• 最新下載：http://down.zzbaike.com/download/CubeCart-5167.html

CubeCart軟件特色[ ]

1. CubeCart可以讓你快速設置一個強大的網上商店銷售數字或服務。
2. 完整的控制和靈活性的增長前景。
3. 具有開源軟件的靈活性與實用性。
4. 國外有將近上千萬的用戶使用該款軟件。

CubeCart任意文件上傳漏洞[ ]

漏洞信息[ ]

• CubeCart是一款基于PHP的電子商務程序。
• CubeCart不正確過濾用戶提交的文件，遠程攻擊者可以利用漏洞上傳任意文件并以WEB權限執(zhí)行。

'admin/includes/rte/editor/filemanager/browser/default/connectors/php/connector.php'
腳本對用戶提交的上傳缺少過濾，攻擊者可以提交任意
腳本[[代碼]]文件到[[服務器]]并以WEB權限執(zhí)行。 
BUGTRAQ ID: 16796 
CNCAN ID:CNCAN-2006022401 

• 漏洞消息時間:2006-02-23
• 漏洞起因
• 輸入驗證錯誤
• 影響系統(tǒng)

CubeCart CubeCart 3.0.7 -pl1 
CubeCart CubeCart 3.0.6 
CubeCart CubeCart 3.0.4 
CubeCart CubeCart 3.0.3 
不受影響系統(tǒng) 
CubeCart CubeCart 3.0.7 

• 危害
• 遠程攻擊者可以利用漏洞上傳任意文件并以WEB權限執(zhí)行。
• 攻擊所需條件
• 攻擊者必須訪問CubeCart。
• 測試方法

 
method="POST" enctype="multipart/form-data"> 
File Upload

廠商解決方案[ ]

• 可聯(lián)系供應商獲得補丁信息:
• https://www.cubecart.com/site/helpdesk/index.php?_m=downloads&_a *=view&parentcategoryid=5&pcid=0&nav=0
• 漏洞提供者:NSA Group
• 漏洞消息鏈接:http://www.nsag.ru/vuln/892.html
• 漏洞消息標題:NSAG-?197-23.02.2006 CubeCart v 3.0.0 - 3.0.6

相關條目[ ]

• FaceCart
• OsCommerce
• TomatoCart
• dashCommerce
• ecart
• RokQuickCart

參考來源[ ]

• http://www.oschina.net/p/cubecart/attention_list?pp=14
• http://down.chinaz.com/soft/29705.htm
• http://www.cubecart.com/
• http://www.enet.com.cn/article/2006/0301/A20060301506868.shtml