Espcms V5.6.13.04.22 UTF8 正式版某文件存在注入漏洞，可获取管理员帐号和密码
 
漏洞文件：\interface\membermain.php

$zipcode = trim($this->fun->accept('zipcode', 'P', true, true));  //第185行

$zipcode = empty($zipcode) ? 0 : $zipcode;


......

$db_where = "userid=$this->ec_member_username_id AND username='$this->ec_member_username' ";

$db_set = "sex=$sex,birthday=$birthday,country=$country,province=$province,city=$city,district=$district,alias='$alias',

   address='$address',zipcode=$zipcode,tel='$tel',mobile='$mobile',qq=$qq,msn='$msn'";

$this->db->query('UPDATE ' . $db_table . ' SET ' . $db_set . ' WHERE ' . $db_where);

 

$zipcode变量未包含在单引号内，导致产生sql注入漏洞。

由于发生在update语句中，除了可以通过注入获取到管理员的帐号密码外，还可以修改任意会员的信息包括密码

输入执行的sql语句如下：

die('UPDATE ' . $db_table . ' SET ' . $db_set . ' WHERE ' . $db_where)




 

  将管理员密码update到email信息中




修复方案：

变量放入单引号内