TPshop开源商城系统v1.2.9审计报告

一、漏洞情况分析

此套开源系统基于Thinkphp开发框架开发， 程序存在多处SQL注入等高危漏洞。CNVD 测试结果表明，该漏洞无需任何特权信息或身份验证，就可以获得数据库所有的信息、用户名与密码等信息，进一步利用可威胁到服务器的安全。

二、漏洞影响范围

CNVD 对该漏洞的综合评级为“高危”。

受该漏洞影响的产品包括：Tpshop V1.2.9版本。目前，根据CNVD 合作伙伴以及相关白帽子的测试结果，一些互联网电商企业的网站服务器受到影响。由于此套开源系统免费下载，因此对服务提供商以及用户造成的威胁范围将会进一步扩大。互联网上已经出现了针对该漏洞的攻击利用代码，预计在近期针对该漏洞的攻击将呈现激增趋势。

三、漏洞处置建议

目前，Tpshop2.0版本已发布，官方已修复该漏洞。CNVD 建议相关用户及时下载使用。如无法及时升级，可参考修改程序加入防注入代码。

相关安全公告链接参考如下：

http://www.cnvd.org.cn/flaw/show/CNVD-2016-11222

附：国家互联网应急中心和国家信息安全漏洞共享平台简介

国家互联网应急中心（CNCERT）成立于1999年9月，是工业和信息化部领导下的国家级网络安全应急机构，致力于建设国家级的网络安全监测中心、预警中心、应急中心，以支撑政府主管部门履行网络安全相关的社会管理和公共服务职能，支持基础信息网络的安全防护和安全运行，支援重要信息系统的网络安全监测、预警和处置。

国家信息安全漏洞共享平台（CNVD）是由CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。其主要目标即与国家政府部门、重要信息系统用户、运营商、主要安全厂商、软件厂商、科研机构、公共互联网用户等共同建立软件安全漏洞统一收集验证、预警发布及应急处置体系，切实提升我国在安全漏洞方面的整体研究水平和及时预防能力，进而提高我国信息系统及国产软件的安全性，带动国内相关安全产品的发展。