拖拖拽拽建网店 轻轻松松赚钱 免费体验 ECshop下载 | ECshop商业授权咨询
安装指南 | 升级指南 | 用户手册 | 在线帮助
进入论坛发帖前请先读本帖 | 常见问题
ECShop免费招募官方插件合作伙伴
ECShop商业授权咨询
ecshop海量模板、插件下载 | 移动商城免费体验
财付通双接口发布
ecshop 最新补丁 | 支付宝升级包
ECShop 模板制作手册 | ECShop 最新模板
ECShop V2.7.2模板
返回列表 回复 发帖

发布 ECShop V2.7.3 release 1106安全漏洞补丁[20141210]

补丁下 载地址为:download.ecshop.com开头,该地址为ecshop下 载站,
如果非以download.ecshop.com开头,请勿下 载,同时请反馈给管理员。

补丁修正项
1、修复gbk版本 sql注入漏洞  危险级 高
2、修复flow.php sql注入漏洞 危险级 高
3、修复支付方式报路径  危险级 中
4、修复模板可执行php文件 危险级中
5、修复ie9 不能使用fck编辑器问题
6、修复flow.php sql 注入漏洞  危险级 高
7、修复fck编辑器 XSS 攻击 危险级中
8、修复flow.php XSS 攻击 危险级高
9、支付宝支付方式sql注入 危险级高
10、后台用户余额增加验证 危险级低(360)
11、后台数据备份增加验证 危险级低(360)
12、修复广告的URL跳转问题 危险级中 (360)
13、模板备份默认路径        危险级中 (乌云)
14、修复广告页面XSS攻击和sql注入 危险级高 (乌云)
15、缺货处理XSS 攻击 危险级高  (乌云)
16、用户权限越权修改收货地址 (乌云)
17、修复flow.php XSS 攻击 危险级高 (乌云)
18、购物流程sql注入 危险级高 (乌云)
19、手机端注册sql注入 危险级高 (360)
20、冒充其他用户发表评论 危险级低(乌云)
21、批  发页面xss攻击,危机级高 (乌云)
22、Csrf式添加管理员 危险级低(乌云)
23、购物流程sql注入 危险级高 (360)
24、限 制模板执行php代码(限 制部分危险代码,危险级中)(乌云)
25、修复留言板用户可删除文件 危险级低(360)
26、修复  收货地址XSS   危险级中 (360)
27、添加商品增加验证  危险级中(乌云)
28、修复对比页 xss 文件 危险低 (360)
29、添加购物页用户登录过滤  危险级高(乌云)
30、ecshop流量统计xss攻击 危险级高 (乌云)
31、ecshop后台可删除文件   危险级中(360)
32、短信可删除系统文件 危险级高
33、后台验证码失效 危险级低 (乌云)

新增补丁项目
34、 后台添加管理员sql注入 危险级低 (360)
35、流量统计代码xss攻击       危险级高 (360)
36、开店向导添加过滤      危险级低(乌云)
37、恶意商品批量上传删除文件 危险级低
38、后台sql查询,只能执行sql查询语句, 危险级低


新增2中支付方式
银联支付方式
双乾支付方式

gbk:点击下 载
utf8:点击下 载


特别感谢360第三方漏洞收集平台(http://webscan.360.cn/vul/about
特别感谢乌云漏洞报告平台 (http://www.wooyun.org/prize

本补丁限 制了模板文件执行php程序,如果您修改过模板同时模板里有可执行php程序,那么您不要覆盖includes/cls_template.php,覆盖后可能会影响到您前端的模板效果或者出现错误。

如果未修改过程序,可以用补丁文件直接覆盖。
如果修改过补丁里面对应的文件,请用文件比对工具,对比原来程序,再按里面的更改修改您的文件,误直接覆盖。不然会把您修改过的功能覆盖掉。
文件对比工具 BCompare 挺不错的,可以网上下 载一个。
喜欢帮助他人想申请成为版主的热心网友可PM我。
官方定制开发 咨询QQ542554970
ECShop下载                             ECShop商业授权
支持官方更新,老大能不能在发布新补丁的时候指明下在前一次补丁的上面更新了哪些文件呢。
ECShop下载                             ECShop商业授权
本帖最后由 rus451 于 2014-12-10 22:30 编辑

\data\pay文件夹里的这个两个文件,
MerPrK_808080071894118_20141028140457.key
netpayclient.php

这两个文件以前没看到有过,这个两个是更新文件还是多余文件啊, 另外这个两个文件是干什么用的,麻烦科普下呗,谢谢啦
2.72 的版本不能用是吗?说不清不楚的。
www.liangzijie.com www.hifiparts.com  www.lunashops.co.uk www.lunashops.com  www.pailic.com
ECShop下载                             ECShop商业授权
为什么现在只更新2.73的补丁了?求解释。
www.liangzijie.com www.hifiparts.com  www.lunashops.co.uk www.lunashops.com  www.pailic.com
ECShop下载                             ECShop商业授权
提示: 作者被禁止或删除 内容自动屏蔽
签名被屏蔽
ECShop下载                             ECShop商业授权
何时支持php5.5版本的以上呀
提示: 作者被禁止或删除 内容自动屏蔽
签名被屏蔽
回复 4# rus451
您好,这个是银联支付的测试的key和银联支付需要的php文件。
为什么我的前台http://www.ceanelove.cc打不开,http://www.ceanelove.cc/admin/后台能打开?高手指教啊。
这次更新我感觉就是
新增2中支付方式
银联支付方式
双乾支付方式
其它都没什么改动。。
ECShop下载                             ECShop商业授权
提示: 作者被禁止或删除 内容自动屏蔽
签名被屏蔽
我想ecshop能不能出一个开源激进版放到github上呢?
恕我走廊,里面的东西好多好旧,BUG又无视了。
我想ecshop能不能出一个开源激进版放到github上呢?
恕我走廊,里面的东西好多好旧,BUG又无视了。
smartweb 发表于 2014-12-12 16:53



    原来六个月前已经上github了,是不是官方的呢?谁去修改一下呢?
ECShop下载                             ECShop商业授权
管理员,补丁有问题帮助解决下
最新补丁不支持IE8发布商品,在后台添加新商品的时候,详细描述选项下上传组件不显示帮助解决下,我用360浏览器测试是正常的。

在补丁中fckeditor文件夹文件覆盖就出现这个问题

不显示组件的图片


有问题图片,

QQ图片20141216085848.jpg
2014-12-16 09:05



正常显示组件的图片


正常的图片

QQ图片20141216090416.jpg
2014-12-16 09:05
ECShop下载                             ECShop商业授权
返回列表
高级模式 | 发新话题
B Color Image Link Quote Code Smilies
换一个