拖拖拽拽建网店 轻轻松松赚钱 免费体验 立即下载V2.7.3 正式版 | V2.7.4 beta1
安装指南 | 升级指南 | 用户手册 | 在线帮助
进入论坛发帖前请先读本帖 | 常见问题
ECShop商业授权咨询与购买联系方式
网店管理必杀绝技 | ShopEx商家,无需等"贷"
财付通双接口发布
ecshop 最新补丁 | 支付宝升级包
ECShop 模板制作手册 | ECShop 最新模板
ECShop V2.7.3模板
返回列表 回复 发帖

发布 ECShop V2.7.2 release 0604 以及其他版本安全漏洞补丁[20110421]

此次补丁非修复问题,由于论坛被攻击,0415补丁包已经被污染,里面包含危险代码。所以请下载过0415补丁的用户用下面最新的0421补丁再覆盖一次保证网店系统安全。现在的补丁包及下载包已经以由论坛转至独立的下载服务器上。


1、发货单批量操作时候,提示错误
2、手机购物出现错误
3、低版本mysql 提交订单出现错误
4、关闭库存管理且库存不足, 礼包不能购买
5、邮件杂志中添加插入图片插入相对路径导致发送邮件图片无法显示
6、Search.php页面过滤不严导致SQL注入漏洞以及后台开店向导会产生的漏洞
7、flow文件过滤不严
8、前台用户越权操作
9、礼包id未过滤
10、fck漏洞爆路径 危险级 中
11、商品列表组合sql时,对条件少了一层过滤。 危险级 中  【wooyu提供】
12、Ecshop2.7.2持久型XSS    危险级 中 【wooyu提供】
13、mobile的搜索添加过滤  
14、文件api/checkorder.php 添加过滤 危险级中
15、支付方式注射漏洞
16、XSS脚本跨站漏洞修复  危险级中  感谢@zhufeng16提供
17、calendar.php 添加过滤 危险级中
18、ecshop模板文件过滤php标签 危险级中
19、分类页添加过滤     危险级中    感谢 www.fengblog.org 提供
20、后台部分文件添加过滤,避免出现sql错误  危险级中   感谢 www.fengblog.org 提供



下面为各个包的下载地址
ECshop2.7.2
utf8:http://download.ecshop.com/2.7.2 ... 2_UTF8_patch015.rar
gbk:http://download.ecshop.com/2.7.2 ... _2_GBK_patch015.rar

ECshop2.7.1
utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_271.rar
gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_271.rar

ECshop2.7.0
utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_270.rar
gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_270.rar

ECshop2.6.2
utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_262.rar
gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_262.rar

ECshop2.6.1
utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_261.rar
gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_261.rar

ECshop2.6.0
utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_260.rar
gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_260.rar


这个补丁会屏蔽模板中带有的php标签,提高模板安全性。由于以前模板文件是可能带有php程序的,所以有些开发商为了保持源程序不变,在模板中加入了php代码(这个主要是为了升级,如果更改了源代码,升级十分不方便,也是为了用户考虑)。如您使用的是第三方模板,打上补丁后错误,请用同一编码的2.7.1中的includes/cls_template.php覆盖或者是去掉该文件中的287行的        $source=preg_replace("/<\?[^><]+\?>/i","",$source);。(官网的2.7.2下载包已经打上补丁),如果您属于这类用户,请不要上传 includes/cls_template.php 该文件。

如果您已经打了
http://bbs.ecshop.com/viewthread.php?tid=148571
文件补丁
可以只上传:
comment.php
category.php
includes/cls_template.php
admin/goods.php
admin/users.php
admin/privilege.php
admin/flow_stats.php
admin/order_stats.php
admin/searchengine_stats.php
admin/ecshopfiles.md5
admin/patch_num
喜欢帮助他人想申请成为版主的热心网友可PM我。
官方定制开发 咨询QQ542554970
ECShop V2.7.3 正式版 下载                             ECShop 官方模板下载
提示: 作者被禁止或删除 内容自动屏蔽
签名被屏蔽
升级了,感谢官方.

我仿佛看到了ec的春天,最近动作有了嘛...
ECShop V2.7.3 正式版 下载                             ECShop 官方模板下载
我最快,更新完毕
http://www.021xiaochi.com
本帖最后由 baiantang 于 2011-4-21 11:31 编辑

里面包含危险代码---是什么啊  指点下 谢谢

我对比了下只有 patch_num 不同
其他的和现在的都是一样的啊

我是4.15第一时间下载的
提示: 该帖被管理员或版主屏蔽
签名被屏蔽
ECShop V2.7.3 正式版 下载                             ECShop 官方模板下载
好的,补上了!看看效果吧 www.gouyee.com
谢谢,又有新补丁了
回复 5# baiantang
刚刚下载(刚刚又替换回了原先的补丁,现在那个帖子已经关闭)的或者是刚发布时候下载的一段时间内的,这个下载包是没问题的。

但是昨天或者更早的,那个下载包是可能存在问题的,现在看论坛用户反馈的问题和外面的
http://www.lpboke.com/ecshop-14- ... A2%AB%E9%BB%91.html
帖子看,应该是在昨天左右的样子被替换的。
ECShop V2.7.3 正式版 下载                             ECShop 官方模板下载
里面包含危险代码---是什么啊  指点下 谢谢

我对比了下只有 patch_num 不同
其他的和现在的都是一样的 ...
baiantang 发表于 2011-4-21 11:26


此补丁和0415没有本质区别,发这个补丁是为了下载了被污染的补丁包的用户的安全考虑。对于不懂代码的用户来说,及时升级补丁是最安全的方式。
ECShop V2.7.3 正式版 下载                             ECShop 官方模板下载
这还了得啊
ECShop V2.7.3 正式版 下载                             ECShop 官方模板下载
我的打补丁后出现打不开网页了www.shxt001.com
ECShop V2.7.3 正式版 下载                             ECShop 官方模板下载
不错,下来看看。。。
ECShop V2.7.3 正式版 下载                             ECShop 官方模板下载
下来看看看。。。。
ECShop V2.7.3 正式版 下载                             ECShop 官方模板下载
回复 10# robb


    好的  谢谢 谢谢
返回列表
高级模式 | 发新话题
B Color Image Link Quote Code Smilies
换一个