CVE-2021-26121

CS-Cart服务器端模板注入远程执行代码漏洞 发现：360 Vulcan Team的Steven Seeley 版本：<= 4.12.x（最新） 日期：2020-01-08 12:49 CVE：CVE-2021-26121 披露时间表 2020-01-26 –发送给CS-Cart开发团队 2020-01-27 – CS-Cart开发团队收到通知 2020-02-10 – cs-cart的回应不是安全漏洞，限制了商店管理员的访问权限 2020-02-12 –公开披露 概括 商店管理员（不要与root管理员混淆）可以在编辑模板时通过服务器端模板注入获得远程代码执行。 笔记 通常这不是一个大问题，但是在cs-cart上，这意味着商店管理员可以访问其他商店管理员数据（和底层操作系统）。 我想您确实考虑了此安全边界，所以才对CVE-2017-15673进行了修补。 概念验证 以Shop管理员身份登