广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 7519 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
n5998744
个人文章 个人相簿 个人日记 个人地图
版主
级别: 版主 该用户目前不上站
版区: ECShop 讨论区
推文 x62 鲜花 x97
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x1
[程式][2.7.0] 发布 ECShop V2.7.2 release 0604 以及其他版本安全漏洞补丁[20110421]
来源 : 发布 ECShop V2.7.2 release 0604 以及其他版本安全漏洞补丁[20110421]



此次补丁非修复问题,由于论坛被攻击,0415补丁包已经被污染,里面包含危险代码。所以请下载过0415补丁的用户用下面最新的0421补丁再覆盖一次保证网店系统安全。现在的补丁包及下载包已经以由论坛转至独立的下载服务器上。


1、发货单批量操作时候,提示错误
2、手机购物出现错误
3、低版本mysql 提交订单出现错误
4、关闭库存管理且库存不足, 礼包不能购买
5、邮件杂志中添加插入图片插入相对路径导致发送邮件图片无法显示
6、Search.php页面过滤不严导致SQL注入漏洞以及后台开店向导会产生的漏洞
7、flow文件过滤不严
8、前台用户越权操作
9、礼包id未过滤
10、fck漏洞爆路径 危险级 中
11、商品列表组合sql时,对条件少了一层过滤。 危险级 中  【wooyu提供】
12、Ecshop2.7.2持久型XSS    危险级 中 【wooyu提供】
13、mobile的搜索添加过滤  
14、文件api/checkorder.php 添加过滤 危险级中
15、支付方式注射漏洞
16、XSS脚本跨站漏洞修复  危险级中  感谢@zhufeng16提供
17、calendar.php 添加过滤 危险级中
18、ecshop模板文件过滤php标签 危险级中
19、分类页添加过滤     危险级中    感谢 http://www.fen....org/ 提供
20、后台部分文件添加过滤,避免出现sql错误  危险级中   感谢 http://www.fen....org/ 提供



下面为各个包的下载地址
ECshop2.7.2

utf8:http://download.ecshop.com/2.7.2buding/1..._UTF8_patch015.rar
下方附件是 繁化utf8
gbk:http://download.ec...m/2.7.2

ECshop2.7.1
utf8:http://download.ecshop.com/2.7.2bud...op_UTF8_271.rar
gbk:http://download.ecshop.com/2.7.2bu...hop_GBK_271.rar

ECshop2.7.0
utf8:http://download.ecshop.com/2.7.2bud...op_UTF8_270.rar
gbk:http://download.ecshop.com/2.7.2bu...hop_GBK_270.rar

ECshop2.6.2
utf8:http://download.ecshop.com/2.7.2bud...op_UTF8_262.rar
gbk:http://download.ecshop.com/2.7.2bu...hop_GBK_262.rar

ECshop2.6.1
utf8:http://download.ecshop.com/2.7.2bud...op_UTF8_261.rar
gbk:http://download.ecshop.com/2.7.2bu...hop_GBK_261.rar

ECshop2.6.0
utf8:http://download.ecshop.com/2.7.2bud...op_UTF8_260.rar
gbk:http://download.ecshop.com/2.7.2bu...hop_GBK_260.rar


这个补丁会屏蔽模板中带有的php标签,提高模板安全性。由于以前模板文件是可能带有php程序的,所以有些开发商为了保持源程序不变,在模板中加入了php代码(这个主要是为了升级,如果更改了源代码,升级十分不方便,也是为了用户考虑)。如您使用的是第三方模板,打上补丁后错误,请用同一编码的2.7.1中的includes/cls_template.php覆盖或者是去掉该文件中的287行的        $source=preg_replace("/<\?[^><]+\?>/i","",$source);。(官网的2.7.2下载包已经打上补丁),如果您属于这类用户,请不要上传 includes/cls_template.php 该文件。

如果您已经打了
http://bbs.ecshop.com/view...tid=148571
文件补丁
可以只上传:
comment.php
category.php
includes/cls_template.php
admin/goods.php
admin/users.php
admin/privilege.php
admin/flow_stats.php
admin/order_stats.php
admin/searchengine_stats.php
admin/ecshopfiles.md5
admin/patch_num



繁化utf8


本帖包含附件
zip 繁化档-ECShop_2_7_2_UTF8_patch015.rar   (2022-06-09 14:18 / 255 KB)   下载次数:2


[ 此文章被n5998744在2011-05-15 17:40重新编辑 ]



献花 x0 回到顶端 [楼 主] From:台湾中华电信股份有限公司 | Posted:2011-05-05 23:23 |
qee7795
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x0
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

n5998744 大大
您有即时通吗
我有ECSHOP相关问题想问你
谢谢


献花 x0 回到顶端 [1 楼] From:台湾中华电信股份有限公司 | Posted:2011-05-18 18:25 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.055611 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言