ECStore开源文档
ECStore帮助文档
ECshop下载 | ECshop商业授权
安装指南 | 升级指南 | 用户手册 | 在线帮助
进入论坛发帖前请先读本帖 | 常见问题
ECMall多用户商城系统
ECStore B2B2C
ECStore产品授权中心
ECShop合伙人计划-一起赚钱
ECShop最新H5模板
ECMall基础套餐(PC+H5)
ECMall3.0商业授权
返回列表 回复 发帖

发布 ECShop V2.7.3 release 1106安全漏洞补丁[20130603]

特别提示:由于上个补丁包被污染,请务必打上该补丁。
补丁下载地址为:http://download.ecshop.com开头,该地址为ecshop下载站,
如果非以http://download.ecshop.com开头,请勿下载,同时请反馈给管理员。


1、修复gbk版本 sql注入漏洞  危险级 高
2、修复flow.php sql注入漏洞 危险级 高
3、修复支付方式报路径  危险级 中
4、修复模板可执行php文件 危险级中
5、修复ie9 不能使用fck编辑器问题
6、修复flow.php sql 注入漏洞  危险级 高
7、修复fck编辑器 XSS 攻击 危险级中
8、修复flow.php XSS 攻击 危险级高
9、支付宝支付方式sql注入 危险级高
10、后台用户余额增加验证 危险级低(360提供)
11、后台数据备份增加验证 危险级低(360提供)
12、修复广告的URL跳转问题 危险级中 (360提供)
13、模板备份默认路径        危险级中 (乌云)
14、修复广告页面XSS攻击和sql注入 危险级高
15、缺货处理XSS 攻击 危险级高  (乌云)
16、用户权限越权修改收货地址 (乌云)
17、修复flow.php XSS 攻击 危险级高 (乌云)
ECSHOP 2.7.3
utf8:点击下载
gbk:点击下载

ECSHOP 2.7.2
utf8:点击下载
gbk:点击下载


特别感谢360第三方漏洞收集平台(http://webscan.360.cn/vul/about
特别感谢乌云漏洞报告平台 (http://www.wooyun.org


本补丁限 制了模板文件执行php程序,如果您修改过模板同时模板里有可执行php程序,那么您不要覆盖includes/cls_template.php,覆盖后可能会影响到您前端的模板效果或者出现错误。


如果未修改过程序,可以用补丁文件直接覆盖。
如果修改过补丁里面对应的文件,请用文件比对工具,对比原来程序,再按里面的更改修改您的文件,误直接覆盖。不然会把您修改过的功能覆盖掉。
文件对比工具 BCompare 挺不错的,可以网上下载一个。
4

评分人数

  • china1801

  • 最模板

  • ecshop模板堂

  • 68EC模板中心

喜欢帮助他人想申请成为版主的热心网友可PM我。
官方定制开发 咨询QQ542554970
ECShop下载                             ECShop商业授权
支持 楼主!
本帖最后由 破布 于 2013-6-3 16:03 编辑

2.7.3GBK版本下载后无法解压
ECShop下载                             ECShop商业授权
本帖最后由 ecshop模板堂 于 2013-6-3 21:38 编辑

ecshop模板堂支持官方补丁,必须修补安全漏洞
广告位。。沙发没了
怎么出来有屏蔽了
回复 3# 破布

哈哈,系统部把权限调整的比较高,现在上传中,请稍等。
ECShop下载                             ECShop商业授权
不会又是带后门的吧,被**了  ?
ECShop下载                             ECShop商业授权
68ecshop支持晓天,支持官方
智能区域电商生态系统https://www.68mall.com
给力!!      支持Ecshop一直以来的努力    希望大家都能为ecshop贡献自己的一份力量
新版本的安装包是不是也有问题呢?安装都是乱码的。。。
ECShop下载                             ECShop商业授权
新版本的安装包是不是也有问题呢?安装都是乱码的。。。
qq83354254 发表于 2013-6-3 18:22

这么悲剧啊,官方的补丁都不敢用了!
期待官方已经升级打包好的补丁整站最新程序下载。
自己升级打补丁担心出问题
ecshop.vc ecmoban.cc ecshop.bid这些域名转让
另外查看了user.php文件,这个补丁依然还没修复add_tag($id, $tag);这个跨站漏洞问题呢?
请问官方解答下,这个漏洞是在淘宝开发平台安全检查到的跨站漏洞
我把代码修改为,add_tag($id, strip_tags($tag)); 漏洞问题已经解决了
ecshop.vc ecmoban.cc ecshop.bid这些域名转让
原来之前下载的2013.5.7补丁包,ECShop官网论坛被入侵,导致ECShop V2.7.3版本补丁包(2013.5.7补丁包)被植入后门代码。

请互相转告

请勿使用升级2013.5.7补丁包。升级会导头部网站出错乱码,严重会导致可被攻击者写入webshell,进而获取服务器权限,导致服务器变成‘肉鸡’。
此信息是在360安全中心,看到的。相关网址 http://webscan.360.cn/vul/view/vulid/1063

如果已经打了请按照360提供的解决方法修复或者及时打上官方提供最新补丁
ecshop.vc ecmoban.cc ecshop.bid这些域名转让
返回列表
高级模式 | 发新话题
B Color Image Link Quote Code Smilies
换一个