方维团购和购物分享系统（开发商官网www.fanwe.com）配置不当，会导致大量用户资料泄露，包括姓名、邮箱、手机号、地址等敏感信息，目前大量使用该系统的网站存在资料泄露风险。
详细说明：方维团购和购物分享系统配置不当会造成数据库备份目录/Public/db_backup目录遍历，可以下载数据库备份文件，里面包含大量团购和分享用户个人资料，包括姓名、邮箱、手机号、地址等敏感信息，目前从搜索引擎可以找到大量存在泄密风险的网站。
 
另外使用管理员账户登录系统后，可以通过编辑语言包轻松获得webshell。
漏洞证明：可以被搜索引擎索引到：
 
 



 
 
为便于展示，下载这个数据库文件导入mysql，使用phpmyadmin查询的结果：
 
 
 
 
解密管理员密码hash登录后台，可以利用编辑语言包功能轻松拿到webshell：
 
 
 
修复方案：建议厂商在下一版本分发.htaccess文件或者配置建议防止数据库备份目录等被浏览或者被搜索引擎收录；语言包等不用php等可执行扩展名。
 
摘自  路人甲@乌云