2014马年临近,广大网友也纷纷通过网购选取年货,网络诈骗进入了一年当中的高峰期。近日,安恒信息工程师发现国内最大的电子商务软件及服务提供商ShopEX旗下的ECMALL多店商城系统存在严重的安全隐患,可能将导致恶意攻击者任意伪造钓鱼网站对合法用户进行网络诈骗,届时将会造成普通用户的经济损失。同时还可能导致攻击者在大部分情况下可直接向目标网站读取敏感信息,控制整个网站,并可进行“拖库”、“挂马”等,甚至可以向服务器进行提权操作。
目前安恒信息安全研究院已积极联系ShopEX官方通报该漏洞,请广大使用ECMALL的用户密切关注官方补丁更新动态。使用安恒信息明鉴WEB应用弱点扫描器和明御WEB应用防火墙的客户均可升级产品进行安全检测和漏洞防御。
关于ShopEX
是国内最大的电子商务软件及服务提供商,长期专注于电子商务软件的研发及相关解决方案与服务的提供。ECMALL是ShopEX旗下的多店商城系统。
关于安恒信息安全研究院
安恒安全研究院是杭州安恒信息科技创新、技术进步及安全研究的重要研究部门,研究院拥有一支在安全技术研究和应用领域优势突出、团结有为、勇于创新的年轻队伍,在安全漏洞研究发掘、Web应用安全及数据库安全问题研究、软件逆向研究等诸多领域积累了大量的研究成果,获得了国内外各种安全机构各 类型原创漏洞证书。安恒安全研究院目前已为包括阿里巴巴、腾讯、百度、Oracle、IBM等国内外各大厂商提交了大量漏洞,如阿里巴巴旗下的IM软件和IBM旗下的APPSCAN扫描器的远程溢出漏洞等,安恒安全研究院均第一时间联系通报给厂商漏洞详情,并协助提供修改建议等等。各厂商也通过各种渠道对安恒研究院团队表示了感谢。
安恒安全研究院将秉承“协作 感恩 务实 创新”的精神,立足信息安全领域,为中国信息安全事业贡献出最大力量。