近期,我们关注到网上长期流传着关于 LikeShop 开源商城系统存在高危漏洞的不实信息,不少开发者、中小企业在选型时,被这些老旧信息误导,误以为 LikeShop 全线版本均存在安全隐患、不适合线上部署。
在此,LikeShop 官方结合最新开源源码审计结果,客观梳理漏洞真相、当前版本安全修复情况,正式纠正网络过时谣言,为正在选型、二次开发、部署的开发者,提供最真实、权威的参考。
一、网传高危漏洞回顾(仅存在于老旧版本)
首先,LikeShop 官方明确声明:所有网传的 LikeShop 高危漏洞,均集中在 v2.5.7 及更早的停止维护版本,与当前最新版本无任何关联。主要网传漏洞如下:
1. 任意文件上传漏洞(CVE-2024-0352)
网传风险:未授权接口无后缀校验,可直接上传PHP木马,获取服务器控制权,属于致命漏洞。
影响范围:仅 v2.5.7 及更早停止维护的旧版本,当前最新版本已彻底规避该风险。
2. SQL注入漏洞
网传风险:商品列表、搜索、分类、订单等接口参数直接拼接SQL,无过滤绑定,可实现拖库、篡改数据。
影响范围:早期采用ThinkPHP5.1低阶写法的旧版本,当前最新版本已完成写法优化,彻底杜绝该漏洞。
3. 未授权&水平越权
网传风险:接口无有效鉴权,用户ID、订单ID等可通过前端篡改,普通用户可查看他人订单、会员数据、分销信息。
4. XSS存储攻击、支付逻辑绕过
网传风险:评论、昵称、收货地址无特殊字符过滤;支付回调验权不完善,存在伪造支付、0元下单等逻辑问题。
二、官方声明:现有版本已全部修复上述历史漏洞
LikeShop官方团队始终重视系统安全,持续迭代优化,针对上述网传历史漏洞,已在后续版本中完成全量修复与安全重构。结合最新开源源码审计结果,核心修复点逐一公示如下,每一点均精准对应网传漏洞,彻底解决安全隐患:
✅ 1. 彻底修复高危任意文件上传漏洞
- 重构文件上传统一逻辑,正式废弃老旧不安全的上传接口;
- 新增文件后缀白名单机制,仅允许图片、文档等业务合规后缀,严格禁止php、phtml、phar等可执行脚本格式;
- 增加MIME类型校验、文件头内容双重检测,杜绝伪装文件(如改后缀的PHP木马)绕过校验;
- 上传文件统一重命名、随机文件名存储,彻底杜绝路径遍历、文件覆盖风险;
- 上传目录做权限隔离,代码层限制脚本文件执行权限,从业务层彻底杜绝木马运行。
✅ 2. 全面杜绝 SQL 注入风险
- 全局统一使用ThinkPHP框架参数绑定、ORM构造器写法,彻底杜绝原生SQL拼接;
- 所有外部传入参数(GET/POST/Header)统一做过滤、类型强转换,避免恶意参数注入;
- 关键查询、条件判断增加正则校验、参数白名单限制,进一步加固数据查询安全;
- 废弃早期不安全的动态条件拼接写法,统一数据层安全规范。
✅ 3. 完善接口鉴权与权限控制,修复越权问题
- 前后端分离架构下,接口强制依赖Token身份认证,未授权游客无法访问任何核心业务接口;
- 后端所有敏感操作、数据查询,不以前端传参的用户ID为准,全部从服务端会话/Token中读取真实用户身份,从根源避免篡改;
- 订单、售后、分销、会员数据均增加数据归属校验,用户仅能操作、查看自身相关数据,彻底解决水平越权;
- 管理后台、商家权限做角色分级,接口增加路由权限校验,防止低权限账号越权操作高权限功能。
✅ 4. XSS 防护与输入输出安全处理
- 前端录入内容(昵称、评论、收货地址、留言),后端统一做HTML特殊字符转义,过滤恶意脚本;
- 前台页面渲染增加输出过滤,拦截恶意JS、HTML脚本,避免存储型XSS触发;
- 接口返回数据统一格式化,避免恶意代码直接渲染,进一步提升前端展示安全。
✅ 5. 支付、营销逻辑安全加固
- 微信、支付宝、余额支付等回调接口,严格校验签名、订单编号、金额、渠道信息,杜绝伪造回调;
- 完善支付状态校验机制,避免重复回调、非法篡改支付状态,防止0元下单、恶意支付绕过;
- 分销、拼团、砍价、积分、优惠券等营销模块,增加防刷、重复领取、数据锁机制,避免逻辑漏洞被恶意利用。
✅ 6. 底层安全配置优化
- 同步跟进ThinkPHP框架安全补丁,及时修复框架历史衍生漏洞;
- 错误信息统一封装,线上环境关闭详细报错,避免泄露服务器路径、代码信息;
- 敏感配置、密钥、数据库信息独立隔离,不硬编码暴露在业务代码中,降低信息泄露风险。
三、官方客观说明:当前 LikeShop 安全能力
结合最新源码审计及长期线上部署验证,LikeShop官方客观说明当前系统安全水平,为选型者提供清晰参考:
1. 历史漏洞为版本遗留问题,与当前版本无关
所有公开的高危漏洞,均为多年前老旧版本的遗留问题。LikeShop 官方始终坚持迭代维护,当前最新版本不仅修复了所有已知漏洞,还对核心安全模块进行了全面重构,请勿用几年前的漏洞,评价当前系统的安全水平。
2. 开源代码透明可控,安全更有保障
LikeShop 坚持全源码开源、无加密、无后门、无隐藏代码,开发者可自行二次审计、自定义加固。相比闭源商城系统,LikeShop 安全透明度更高,若出现问题,开发者可快速定位、自主修复,官方也会提供技术支持。
3. 满足中小项目商用安全标准
对于常规的私域商城、小程序商城、分销电商、本地生活轻电商场景,LikeShop 当前安全机制完全可满足线上稳定部署需求。配合服务器WAF、目录权限设置、后台强密码等基础加固,可进一步提升系统安全性。
4. 线上部署建议:遵循基础安全规范
即便代码层漏洞已全部修复,为保障系统长期稳定运行,官方建议用户在上线部署时,遵循以下通用安全规范,从部署层面进一步加固:
- 修改后台默认访问地址,避免被暴力破解;
- 禁用弱密码,开启登录验证码、异地登录校验;
- 定期备份数据库,限制服务器目录权限,避免误操作或攻击导致数据丢失;
- 线上环境务必关闭调试模式,防止敏感信息泄露。
四、已修复漏洞产品列表
本次历史漏洞修复已覆盖 LikeShop 全系列相关产品,具体如下:
- 单商户开源版
- 单商户标准版 PHP
- 单商户标准版 Java
- 单商户高级版
- 单商户SaaS
- 多商户标准版
- 多商户高级版 PHP
- 多商户高级版 Java
- 社区团购系统
- 连锁点餐系统
- 按摩到家系统
- 上门家政专业版 PHP
- 上门家政专业版 Java
- 知识付费系统 PHP
- 知识付费系统 Java
- 回收租赁系统
- 同城跑腿系统
- CRM 管理系统 PHP
- CRM 管理系统 Java
五、官方总结
最后,LikeShop 官方用4点核心内容,帮大家理清认知、规避误区:
- 网络上传播的 LikeShop 上传、注入、越权等高危漏洞,仅存在于废弃老旧版本,当前最新开源版本已全部修复;
- 经官方源码审计及线上验证,文件上传、数据查询、权限控制、输入过滤、支付校验等核心安全模块,均已完成重构优化;
- LikeShop 作为国内轻量化热门开源电商系统,迭代持续、维护稳定,新版代码安全规范,完全可放心用于个人开发、企业商用、二次开发;
- 官方建议使用者摒弃对老旧版本漏洞的刻板印象,选型时务必从 LikeShop 官方渠道下载最新源码,拒绝使用废弃旧版,从源头规避安全风险。
若您需要进一步了解 LikeShop 源码安全细节、部署加固技巧,可通过 LikeShop 官方渠道咨询交流,我们将第一时间提供专业支持。