ECStore开源文档
ECStore帮助文档
ECshop4.0下载 | ECshop4.0商业授权
安装指南 | 升级指南 | 用户手册 | 在线帮助
进入论坛发帖前请先读本帖 | 常见问题
ECMall多用户商城系统
ECStore B2B2C
ECStore产品授权中心
ECShop合伙人计划-一起赚钱
ECShop最新H5模板
ECMall基础套餐(PC+H5)
ECMall3.0商业授权
返回列表 回复 发帖

发布 ECShop V2.7.3 release 1106安全漏洞补丁[20131206]

特别提示:
补丁下载地址为:download.ecshop.com开头,该地址为ecshop下载站,
如果非以download.ecshop.com开头,请勿下载,同时请反馈给管理员。

1、修复gbk版本 sql注入漏洞  危险级 高
2、修复flow.php sql注入漏洞 危险级 高
3、修复支付方式报路径  危险级 中
4、修复模板可执行php文件 危险级中
5、修复ie9 不能使用fck编辑器问题
6、修复flow.php sql 注入漏洞  危险级 高
7、修复fck编辑器 XSS 攻击 危险级中
8、修复flow.php XSS 攻击 危险级高
9、支付宝支付方式sql注入 危险级高
10、后台用户余额增加验证 危险级低(360)
11、后台数据备份增加验证 危险级低(360)
12、修复广告的URL跳转问题 危险级中 (360)
13、模板备份默认路径        危险级中 (乌云)
14、修复广告页面XSS攻击和sql注入 危险级高 (乌云)
15、缺货处理XSS 攻击 危险级高  (乌云)
16、用户权限越权修改收货地址 (乌云)
17、修复flow.php XSS 攻击 危险级高 (乌云)
18、购物流程sql注入 危险级高 (乌云)
19、手机端注册sql注入 危险级高 (360)
20、冒充其他用户发表评论 危险级低(乌云)
21、批发页面xss攻击,危机级高 (乌云)

补丁新增项:
22、Csrf式添加管理员 危险级低(乌云)
23、购物流程sql注入 危险级高 (360)
24、限 制模板执行php代码(限 制部分危险代码,危险级中)(乌云)
25、修复留言板用户可删除文件 危险级低(360)
26、修复  收货地址XSS   危险级中 (360)
27、添加商品增加验证  危险级中(乌云)
28、修复对比页 xss 文件 危险低 (360)

修改项:
因短信系统审查比较严,系统将自动带签名,增加通过概率。
格式为 发送内容 【签名】。签名为商店设置中的 商店名称。
如需感觉不合适,需修改,请修改includes/cls_sms.php 第319行中的
$GLOBALS['_CFG']['shop_name'], 如改为 '我自定义的店铺名称'。 点击"更多短信说明"

ECSHOP 2.7.3
utf8:点击下载
gbk:点击下载


ecshop 2.7.3渠道版:点击下载






特别感谢360第三方漏洞收集平台(http://webscan.360.cn/vul/about
特别感谢乌云漏洞报告平台 (http://www.wooyun.org/prize


本补丁限 制了模板文件执行php程序,如果您修改过模板同时模板里有可执行php程序,那么您不要覆盖includes/cls_template.php,覆盖后可能会影响到您前端的模板效果或者出现错误。


如果未修改过程序,可以用补丁文件直接覆盖。
如果修改过补丁里面对应的文件,请用文件比对工具,对比原来程序,再按里面的更改修改您的文件,误直接覆盖。不然会把您修改过的功能覆盖掉。
文件对比工具 BCompare 挺不错的,可以网上下载一个。
2

评分人数

喜欢帮助他人想申请成为版主的热心网友可PM我。
官方定制开发 咨询QQ542554970
ECShop下载                             ECShop4.0商业授权
沙发                  。
ECShop下载                             ECShop4.0商业授权
终于出补丁了,可惜重要的你不修复。不重要的就修复了。
最大的补丁应是jquery不兼容,从ecshop诞生到现在还未解决
后台没有提示有更新补丁
ECShop下载                             ECShop4.0商业授权
不错,支持!!!
ECShop下载                             ECShop4.0商业授权
支持一个!中购商城www.cnshoping.com欢迎您!
更新之后出现的状况,不显示订单状态了。
1.jpg
2013-12-8 14:01
ECShop下载                             ECShop4.0商业授权
回复 9# zhucha
你好,本地测试未出现您说的问题。 方便pm过来您的ftp和后台,我们看下。
9.jpg
2013-12-9 10:19
最大的补丁应是jquery不兼容,从ecshop诞生到现在还未解决
l0632 发表于 2013-12-7 10:13


网上早有完美jquery的方案,看看我们的站完美兼容使用jquery
本帖最后由 yoja365_com 于 2013-12-11 11:35 编辑
更新之后出现的状况,不显示订单状态了。
zhucha 发表于 2013-12-8 14:01

这个补丁的确存在这个问题,我升级了也遇到这种情况
ecmoban.cc ecshop.bid这些域名转让
ECShop下载                             ECShop4.0商业授权
本帖最后由 yoja365_com 于 2013-12-11 11:35 编辑
更新之后出现的状况,不显示订单状态了。
zhucha 发表于 2013-12-8 14:01


这个问题是cls_template.php文件新加入如下代码导致的
            if(strpos($tag,"'") || strpos($tag,"]"))
            {
                 return '';
            }
ecmoban.cc ecshop.bid这些域名转让
确实有问题。

cls_template.php文件新加入如下代码导致无法显示订单状态。
            if(strpos($tag,"'") || strpos($tag,"]"))
            {
                 return '';
            }
又更新了~~~~~
本帖最后由 rickstalker 于 2013-12-12 09:23 编辑

对了,官方放出的补丁是针对2.73版系统的,并没有对应的2.72 和2.70等版本的。

1.意思是这次的漏洞只是针对2.73的??2.72及以下的版本不需要打补丁?还是官方已经停止了对2.72以下版本的技术支持了呢????

2.既然没有针对2.72版本的,为什么后系统台会提示让我打补丁呢???根本没有针对2.72的补丁。难道2.72的系统也打2.73的补丁????

请官方回复一下、

返回列表
高级模式 | 发新话题
B Color Image Link Quote Code Smilies
换一个