一、事件背景

Destoon是一套基于PHP+MySQL开发的B2B（电子商务）网站管理系统。它的系统基于PHP+MySQL开发，采用B/S架构，模板与程序分离，源码开放。

近日，互联网上公布了一则Destoon前台存在Getshell漏洞。攻击者可以利用此漏洞在前台通过会员中心头像上传恶意文件，从而直接Getshell，并进一步获取服务器系统权限，请用户及时更新补丁，以免造成严重损失。

二、漏洞危害

攻击者可以利用此漏洞在前台通过会员中心头像上传恶意文件，从而直接Getshell，并进一步获取服务器系统权限。

三、影响范围

由于Destoon系统主要用户都分布在国内，数量约为2万个。其中，排名前五的省份或地区分别为：北京市、浙江省、广东省、上海市、山东省。

四、防范建议

1)  漏洞影响范围

Destoon 20180827

2)  修复建议

请用户及时更新到最新版本，相关链接如下：

https://www.destoon.com/download/

信息整理：郑州市网络安全协会

信息来源：天融信安全云服务运营中心