編輯“CubeCart”

[[Image:Cubecrt.jpg|right|thumb|CubeCart]]
'''CubeCart'''是一個(gè)完整的[[電子商務(wù)]]購物車軟件解決方案程序。也就是一個(gè)購物車[[程序]]，有兩個(gè)版本，其中一個(gè)CubeCart3是免費(fèi)的。CubeCart4高級(jí)平臺(tái)要 110 英鎊，而CubeCart5同樣也是付費(fèi)的產(chǎn)品。CubeCart5.0.0現(xiàn)已通過其發(fā)行候選階段，現(xiàn)在可以在<nowiki>http://cp.cubecart.com</nowiki>購買。它已通過McAfee安全漏洞測(cè)試，適合現(xiàn)場制作網(wǎng)店。
==CubeCart概況==
* 授權(quán)協(xié)議：免費(fèi)版、付費(fèi)版
* 運(yùn)行環(huán)境：[[PHP]]/[[Mysql]]/ 
* 官方網(wǎng)站：http://www.cubecart.com/
* 最新下載：http://down.zzbaike.com/download/CubeCart-5167.html

==CubeCart軟件特色==
#CubeCart可以讓你快速設(shè)置一個(gè)強(qiáng)大的網(wǎng)上商店銷售數(shù)字或服務(wù)。
#完整的控制和靈活性的增長前景。
#具有開源[[軟件]]的靈活性與實(shí)用性。
#國外有將近上千萬的用戶使用該款軟件。

==CubeCart任意文件上傳漏洞==
===漏洞信息=== 
*CubeCart是一款基于PHP的電子商務(wù)程序。 
*CubeCart不正確過濾用戶提交的文件，遠(yuǎn)程攻擊者可以利用漏洞上傳任意文件并以[[WEB]]權(quán)限執(zhí)行。 
<pre>
'admin/includes/rte/editor/filemanager/browser/default/connectors/php/connector.php'
腳本對(duì)用戶提交的上傳缺少過濾，攻擊者可以提交任意
腳本[[代碼]]文件到[[服務(wù)器]]并以WEB權(quán)限執(zhí)行。 
BUGTRAQ ID: 16796 
CNCAN ID:CNCAN-2006022401 </pre>
*漏洞消息時(shí)間:2006-02-23 
*漏洞起因 
*輸入驗(yàn)證錯(cuò)誤 
*影響系統(tǒng) 
<pre>
CubeCart CubeCart 3.0.7 -pl1 
CubeCart CubeCart 3.0.6 
CubeCart CubeCart 3.0.4 
CubeCart CubeCart 3.0.3 
不受影響系統(tǒng) 
CubeCart CubeCart 3.0.7 </pre>

*危害 
*遠(yuǎn)程攻擊者可以利用漏洞上傳任意文件并以WEB權(quán)限執(zhí)行。 
*攻擊所需條件 
*攻擊者必須訪問CubeCart。 
*測(cè)試方法
<pre> 
method="POST" enctype="multipart/form-data"> 
File Upload</pre>

===廠商解決方案===
*可聯(lián)系供應(yīng)商獲得補(bǔ)丁信息:
*<nowiki>https://www.cubecart.com/site/helpdesk/index.php?_m=downloads&_a
*=view&parentcategoryid=5&pcid=0&nav=0</nowiki> 
*漏洞提供者:NSA Group 
*漏洞消息鏈接:<nowiki>http://www.nsag.ru/vuln/892.html</nowiki> 
*漏洞消息標(biāo)題:NSAG-?197-23.02.2006 CubeCart v 3.0.0 - 3.0.6

==相關(guān)條目==
*[[FaceCart]]
*[[OsCommerce]] 
*[[TomatoCart]] 
*[[dashCommerce]]
*[[ecart]]
*[[RokQuickCart]]

==參考來源==
*http://www.oschina.net/p/cubecart/attention_list?pp=14
*http://down.chinaz.com/soft/29705.htm
*http://www.cubecart.com/
*http://www.enet.com.cn/article/2006/0301/A20060301506868.shtml
[[category:電子商務(wù)|C]]
[[category:軟件|C]]