ECShop是一款開源的電子商務(wù)系統(tǒng)，專為中小企業(yè)及個(gè)人提供快速搭建在線商店的解決方案。它基于PHP和MySQL開發(fā)，支持多語言、多貨幣和多支付方式，適用于全球化電商業(yè)務(wù)。ECShop提供豐富的模板和插件，用戶可輕松定制店鋪外觀和功能。系統(tǒng)內(nèi)置商品管理、訂單處理、會(huì)員管理、促銷工具等功能，并支持SEO優(yōu)化，幫助提升搜索引擎排名。其開源特性允許開發(fā)者根據(jù)需求進(jìn)行二次開發(fā)，擴(kuò)展性強(qiáng)。ECShop以其易用性、靈活性和穩(wěn)定性，成為許多電商創(chuàng)業(yè)者的首選平臺(tái)。

國(guó)家信息安全漏洞共享平臺(tái)于2025-02-13公布該程序存在代碼注入漏洞。

漏洞編號(hào)：CNVD-2025-03740

影響產(chǎn)品：ECShop

漏洞級(jí)別：高

公布時(shí)間：2025-02-13

漏洞描述：國(guó)家信息安全漏洞共享平臺(tái)未公布具體漏洞位置，僅提醒ECShop存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。

解決辦法：

廠商已發(fā)布新版本修復(fù)漏洞，請(qǐng)廣大用戶及時(shí)下載更新：http://update.shopex.com.cn/version/program/ECShop/download_ecshop_utf8.php?mysoftware

為了更加安全，可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』的“SQL注入防護(hù)”模塊來解決該注入漏洞，不止對(duì)該漏洞有效，對(duì)網(wǎng)站所有的SQL注入漏洞和跨腳本漏洞都可以防護(hù)。

1、SQL注入防護(hù)和XSS跨站攻擊防護(hù)

『護(hù)衛(wèi)神·防入侵系統(tǒng)』自帶的SQL注入防護(hù)模塊（如圖一）除了攔截SQL注入，還可以攔截XSS跨站腳本（如圖二），一并解決ECShop的其他安全漏洞，攔截效果如圖三。

（圖一：ECShop防護(hù)SQL注入攻擊）

（圖二：ECShop防護(hù)XSS跨站腳本攻擊）

（圖三：SQL注入攔截效果）

2、防篡改保護(hù)和后臺(tái)保護(hù)

如果對(duì)安全要求較高，還可以使用『護(hù)衛(wèi)神·防入侵系統(tǒng)』系統(tǒng)的“篡改防護(hù)”模塊，對(duì)ECShop做防篡改保護(hù)。

在“篡改防護(hù)-添加CMS防護(hù)”（如圖四）。選擇網(wǎng)站目錄，安全模板選擇“ECShop安全模板”，并填寫正確的后臺(tái)地址，點(diǎn)擊“確定”按鈕，就添加好了。

護(hù)衛(wèi)神.防入侵系統(tǒng)內(nèi)置有ECShop的篡改防護(hù)規(guī)則，只需簡(jiǎn)單設(shè)置即可解決，非常方便！

（圖四：添加ECShop防篡改規(guī)則）

設(shè)置好以后，防入侵系統(tǒng)就會(huì)對(duì)后臺(tái)進(jìn)行保護(hù)，訪問時(shí)需要先驗(yàn)證授權(quán)密碼（如圖五），只有輸入了正確的密碼才能訪問。

（圖五：訪問后臺(tái)需要輸入授權(quán)密碼）