OpenCart 4.1.0.3 路径遍历漏洞 (VulDB #780814) 漏洞概述 OpenCart 4.1.0.3 的扩展安装程序(Extension Installer)中存在一个 Zip Slip 漏洞。该漏洞允许攻击者通过特制的 ZIP 包(如 )绕过路径验证。在安装过程中,ZIP 条目名称被用于构建文件系统路径,但系统未能正确拒绝路径遍历序列(如 或 )。 影响范围 受影响软件: OpenCart 4.1.0.3 受影响组件: 扩展安装程序 ( ) 漏洞类型: Zip Slip / 路径遍历 (Path Traversal) 潜在后果: 任意文件写入(Arbitrary file write)至 目录之外。 可能导致远程代码执行(RCE),具体取决于目标 Web 服务器及服务器配置。 仅影响已认证的管理员(需执行扩展安装操作)。 修复方案 页面未提供官方补丁或修复代码。建议升级至修复该漏洞的 OpenCart 新版本,或手动修复 中的路径验证逻辑,确保对包含路径遍历字符(如 、 )的文件名进行严格过滤与拒绝。 POC / 利用代码 提供指向漏洞利用样本(特制 ZIP 包)的下载链接: 其他信息 提交者: hal271120 提交时间: 2026-03-16 01:18 PM 审核时间: 2026-04-01 03:30 PM 状态: Public(公开) 评分**: 20