快速商城装修解决方案--庞大的第三方设计师队伍提供丰富的模板产品,实现商城的快速换装 立即下载V2.7.3 正式版 | V2.7.4 需求征集
安装指南 | 升级指南 | 用户手册 | 在线帮助
进入论坛发帖前请先读本帖 | 常见问题
ECShop商业授权咨询与购买联系方式
网店管理必杀绝技 | ShopEx商家,无需等"贷"
财付通双接口发布
ecshop 最新补丁 | 支付宝升级包
ECShop 模板制作手册 | ECShop 最新模板
ECShop V2.7.3模板
返回列表 回复 发帖

发布 ECShop V2.7.2 release 0604 以及其他版本安全漏洞补丁[20110421]

此次补丁非修复问题,由于论坛被攻击,0415补丁包已经被污染,里面包含危险代码。所以请下载过0415补丁的用户用下面最新的0421补丁再覆盖一次保证网店系统安全。现在的补丁包及下载包已经以由论坛转至独立的下载服务器上。


1、发货单批量操作时候,提示错误
2、手机购物出现错误
3、低版本mysql 提交订单出现错误
4、关闭库存管理且库存不足, 礼包不能购买
5、邮件杂志中添加插入图片插入相对路径导致发送邮件图片无法显示
6、Search.php页面过滤不严导致SQL注入漏洞以及后台开店向导会产生的漏洞
7、flow文件过滤不严
8、前台用户越权操作
9、礼包id未过滤
10、fck漏洞爆路径 危险级 中
11、商品列表组合sql时,对条件少了一层过滤。 危险级 中  【wooyu提供】
12、Ecshop2.7.2持久型XSS    危险级 中 【wooyu提供】
13、mobile的搜索添加过滤  
14、文件api/checkorder.php 添加过滤 危险级中
15、支付方式注射漏洞
16、XSS脚本跨站漏洞修复  危险级中  感谢@zhufeng16提供
17、calendar.php 添加过滤 危险级中
18、ecshop模板文件过滤php标签 危险级中
19、分类页添加过滤     危险级中    感谢 www.fengblog.org 提供
20、后台部分文件添加过滤,避免出现sql错误  危险级中   感谢 www.fengblog.org 提供



下面为各个包的下载地址
ECshop2.7.2
utf8:http://download.ecshop.com/2.7.2 ... 2_UTF8_patch015.rar
gbk:http://download.ecshop.com/2.7.2 ... _2_GBK_patch015.rar

ECshop2.7.1
utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_271.rar
gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_271.rar

ECshop2.7.0
utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_270.rar
gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_270.rar

ECshop2.6.2
utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_262.rar
gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_262.rar

ECshop2.6.1
utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_261.rar
gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_261.rar

ECshop2.6.0
utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_260.rar
gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_260.rar


这个补丁会屏蔽模板中带有的php标签,提高模板安全性。由于以前模板文件是可能带有php程序的,所以有些开发商为了保持源程序不变,在模板中加入了php代码(这个主要是为了升级,如果更改了源代码,升级十分不方便,也是为了用户考虑)。如您使用的是第三方模板,打上补丁后错误,请用同一编码的2.7.1中的includes/cls_template.php覆盖或者是去掉该文件中的287行的        $source=preg_replace("/<\?[^><]+\?>/i","",$source);。(官网的2.7.2下载包已经打上补丁),如果您属于这类用户,请不要上传 includes/cls_template.php 该文件。

如果您已经打了
http://bbs.ecshop.com/viewthread.php?tid=148571
文件补丁
可以只上传:
comment.php
category.php
includes/cls_template.php
admin/goods.php
admin/users.php
admin/privilege.php
admin/flow_stats.php
admin/order_stats.php
admin/searchengine_stats.php
admin/ecshopfiles.md5
admin/patch_num
喜欢帮助他人想申请成为版主的热心网友可PM我。
官方定制开发 咨询QQ542554970
ECShop V2.7.3 正式版 下载                             ECShop 官方模板下载
提示: 作者被禁止或删除 内容自动屏蔽
签名被屏蔽
升级了,感谢官方.

我仿佛看到了ec的春天,最近动作有了嘛...
ECShop V2.7.3 正式版 下载                             ECShop 官方模板下载
我最快,更新完毕
http://www.021xiaochi.com
本帖最后由 baiantang 于 2011-4-21 11:31 编辑

里面包含危险代码---是什么啊  指点下 谢谢

我对比了下只有 patch_num 不同
其他的和现在的都是一样的啊

我是4.15第一时间下载的
ECShop V2.7.3 正式版 下载                             ECShop 官方模板下载
提示: 该帖被管理员或版主屏蔽
签名被屏蔽
好的,补上了!看看效果吧 www.gouyee.com
ECShop V2.7.3 正式版 下载                             ECShop 官方模板下载
谢谢,又有新补丁了
ECShop V2.7.3 正式版 下载                             ECShop 官方模板下载
回复 5# baiantang
刚刚下载(刚刚又替换回了原先的补丁,现在那个帖子已经关闭)的或者是刚发布时候下载的一段时间内的,这个下载包是没问题的。

但是昨天或者更早的,那个下载包是可能存在问题的,现在看论坛用户反馈的问题和外面的
http://www.lpboke.com/ecshop-14- ... A2%AB%E9%BB%91.html
帖子看,应该是在昨天左右的样子被替换的。
里面包含危险代码---是什么啊  指点下 谢谢

我对比了下只有 patch_num 不同
其他的和现在的都是一样的 ...
baiantang 发表于 2011-4-21 11:26


此补丁和0415没有本质区别,发这个补丁是为了下载了被污染的补丁包的用户的安全考虑。对于不懂代码的用户来说,及时升级补丁是最安全的方式。
这还了得啊
ECShop V2.7.3 正式版 下载                             ECShop 官方模板下载
我的打补丁后出现打不开网页了www.shxt001.com
不错,下来看看。。。
下来看看看。。。。
ECShop V2.7.3 正式版 下载                             ECShop 官方模板下载
回复 10# robb


    好的  谢谢 谢谢
ECShop V2.7.3 正式版 下载                             ECShop 官方模板下载
返回列表
高级模式 | 发新话题
B Color Image Link Quote Code Smilies
换一个