发布日期：2023-11-07

更新日期：2024-03-01

受影响系统：

ec-cube EC-CUBE 3 Series >= 3.0.0

ec-cube EC-CUBE 3 Series < ="3.0.18-p6

ec-cube EC-CUBE 4 Series >= 4.2.0

ec-cube EC-CUBE 4 Series >= 4.1.0

ec-cube EC-CUBE 4 Series >= 4.0.0

ec-cube EC-CUBE 4 Series < ="4.2.2

ec-cube EC-CUBE 4 Series < ="4.1.2-p2

ec-cube EC-CUBE 4 Series < ="4.0.6-p3

描述：

CVE(CAN) ID: CVE-2023-46845

EC-CUBE是日本EC-CUBE公司的一套开源的电子商务系统。

EC-CUBE 3 series 3.0.0至3.0.18-p6版本、4 series 4.0.0至4.0.6-p3版本、4.1.0至4.1.2-p2版本、4.2.0至4.2.2版本存在代码注入漏洞，该漏洞源于Twig模板引擎设置错误，攻击者可利用该漏洞执行服务器上的任意代码。

< **>

建议：

厂商补丁：

ec-cube

-------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://www.ec-cube.net/info/weakness/20231026/index.php

浏览次数：35

严重程度：0（网友投票）