受影響系統：

phpShop phpShop 0.6.1-b

詳細描述：

phpShop是一款基于PHP的電子商務程序，可方便的擴展WEB功能。phpShop存在多個安全問題，遠程攻擊者可以利用這些漏洞攻擊數據庫，獲得敏感信息，執行任意腳本代碼。

具體問題如下：

1、SQL注入漏洞：

當更新會話時存在一個SQL注入問題，可以對'page'變量提交惡意SQL命令而修改原有SQL邏輯，同樣對'product_id'和'offset'變量進行注入也存在同樣問題。

2、用戶信息泄露漏洞：

通過查詢'account/shipto'模塊，可獲得大量客戶信息。如果用戶以合法帳戶登錄，也可能查看管理員信息。這些信息包括客戶的地址，公司名等等信息。

3、跨站腳本執行攻擊：

多個參數對用戶提交的URI參數缺少充分過濾，提交包含惡意HTML代碼的數據，可導致觸發跨站腳本攻擊，可能獲得目標用戶的敏感信息。

目前廠商還沒有提供補丁或者升級程序。