引用 | 编辑
n5998744
2011-04-06 02:28 |
楼主
|
||||||||||||
x0
官网: 发布 ECShop V2.7.2 release 0604 以及其他版本安全漏洞补丁[20110323]1、发货单批量操作时候,提示错误 2、手机购物出现错误 3、低版本mysql 提交订单出现错误 4、关闭库存管理且库存不足, 礼包不能购买 5、邮件杂志中添加插入图片插入相对路径导致发送邮件图片无法显示 6、Search.php页面过滤不严导致SQL注入漏洞以及后台开店向导会产生的漏洞 7、flow文件过滤不严 8、前台用户越权操作 9、礼包id未过滤 10、fck漏洞爆路径 危险级 中 11、商品列表组合sql时,对条件少了一层过滤。 危险级 中 【wooyu提供】 12、Ecshop2.7.2持久型XSS 危险级 中 【wooyu提供】 13、mobile的搜索添加过滤 14、文件api/checkorder.php 添加过滤 危险级中 15、支付方式注射漏洞 16、XSS脚本跨站漏洞修复 危险级中 感谢@zhufeng16提供 17、calendar.php 添加过滤 危险级中 18、ecshop模板文件过滤php标签 危险级中 ECshop2.7.2 utf8: ECShop_2_7_2_UTF8_patch013.rar (212.2 KB) gbk: ECShop_2_7_2_GBK_patch013.rar (207.2 KB) ECshop2.7.1 utf8: ecshop271_utf8.rar (8.59 KB) gbk: ecshop271_gbk.rar (8.58 KB) ECshop2.7.0 utf8: ecshop270_utf8.rar (8.59 KB) gbk: ecshop270_gbk.rar (8.41 KB) ECshop2.6.2 utf8: ecshop_262utf8.rar (8.59 KB) gbk: ecshop262_gbk.rar (8.41 KB) ECshop2.6.1 utf8: ecshop261_utf8.rar (8.59 KB) gbk: ecshop261_gbk.rar (8.41 KB) ECshop2.6.0 utf8: ecshop260_utf8.rar (8.52 KB) gbk: ecshop260_gbk.rar (8.34 KB) ECshop2.5.0 ecshop250.rar (7.97 KB) 如果已经打上 http://bbs.ecshop.com/thread-148282-1-1.html 的补丁,可以只上传 includes/cls_template.php admin/patch_num 这个补丁主要修复模板中带有的php标签,提高模板安全性。由于以前模板文件是可带有php程序的,所以有些开发商为了保持源程序不变,在模板中加入了php代码(这个主要是为了升级,如果更改了源代码,升级十分不方便,也是为了用户考虑)。如您使用的是第三方模板,打上补丁后错误,请用同一编码的2.7.1中的includes/cls_template.php覆盖或者是去掉该文件中的287行的 $source = preg_replace("/<\?[^><]+\?>/i", "", $source);。(官网的2.7.2下载包已经打上补丁),如果您属于这类用户,请只上传admin/patch_num,不要上传includes/cls_template.php 繁化挡:
x0
|