引用 | 編輯
n5998744
2011-05-05 23:23 |
樓主
▼ |
||||||||||||
x1
來源 : 發佈 ECShop V2.7.2 release 0604 以及其他版本安全漏洞補丁[20110421] 此次補丁非修復問題,由於論壇被攻擊,0415補丁包已經被污染,裡面包含危險代碼。所以請下載過0415補丁的用戶用下面最新的0421補丁再覆蓋一次保證網店系統安全。現在的補丁包及下載包已經以由論壇轉至獨立的下載服務器上。 1、發貨單批量操作時候,提示錯誤 2、手機購物出現錯誤 3、低版本mysql 提交訂單出現錯誤 4、關閉庫存管理且庫存不足, 禮包不能購買 5、郵件雜誌中添加插入圖片插入相對路徑導致發送郵件圖片無法顯示 6、Search.php頁面過濾不嚴導致SQL注入漏洞以及後台開店嚮導會產生的漏洞 7、flow文件過濾不嚴 8、前台用戶越權操作 9、禮包id未過濾 10、fck漏洞爆路徑 危險級 中 11、商品列表組合sql時,對條件少了一層過濾。 危險級 中 【wooyu提供】 12、Ecshop2.7.2持久型XSS 危險級 中 【wooyu提供】 13、mobile的搜索添加過濾 14、文件api/checkorder.php 添加過濾 危險級中 15、支付方式注射漏洞 16、XSS腳本跨站漏洞修復 危險級中 感謝@zhufeng16提供 17、calendar.php 添加過濾 危險級中 18、ecshop模板文件過濾php標籤 危險級中 19、分類頁添加過濾 危險級中 感謝 www.fengblog.org 提供 20、後台部分文件添加過濾,避免出現sql錯誤 危險級中 感謝 www.fengblog.org 提供 下面為各個包的下載地址 ECshop2.7.2 utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_2_7_2_UTF8_patch015.rar 下方附件是 繁化utf8 gbk:http://download.ecshop.com/2.7.2 ... _2_GBK_patch015.rar ECshop2.7.1 utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_271.rar gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_271.rar ECshop2.7.0 utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_270.rar gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_270.rar ECshop2.6.2 utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_262.rar gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_262.rar ECshop2.6.1 utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_261.rar gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_261.rar ECshop2.6.0 utf8:http://download.ecshop.com/2.7.2buding/110421/ECShop_UTF8_260.rar gbk:http://download.ecshop.com/2.7.2buding/110421/ECShop_GBK_260.rar 這個補丁會屏蔽模板中帶有的php標籤,提高模板安全性。由於以前模板文件是可能帶有php程序的,所以有些開發商為了保持源程序不變,在模板中加入了php代碼(這個主要是為了升級,如果更改了源代碼,升級十分不方便,也是為了用戶考慮)。如您使用的是第三方模板,打上補丁後錯誤,請用同一編碼的2.7.1中的includes/cls_template.php覆蓋或者是去掉該文件中的287行的 $source=preg_replace("/<\?[^><]+\?>/i","",$source);。(官網的2.7.2下載包已經打上補丁),如果您屬於這類用戶,請不要上傳 includes/cls_template.php 該文件。 如果您已經打了 http://bbs.ecshop.com/viewthread.php?tid=148571 文件補丁 可以只上傳: comment.php category.php includes/cls_template.php admin/goods.php admin/users.php admin/privilege.php admin/flow_stats.php admin/order_stats.php admin/searchengine_stats.php admin/ecshopfiles.md5 admin/patch_num 繁化utf8 :
x0
|