新闻动态

【公告】官方12月6号发布的漏洞补丁,老杨版ECSHOP已全部修改(绝大部分漏洞是之前就已经修改的)

LYECS,LYECS+商城系统,多用户商城系统,开源商城系统 发布日期:2013-12-12   作者:老杨

老杨除了自己发现并修改部份漏洞外,也一直关注着官方发布的漏洞。

以下是官方12月6日发布的,其实这些补丁官方很早就陆陆续续发布了,所以这次老杨也是并未修改太多地方。

还是那句话,老杨会很负责的花时间来修补漏洞。但是安全问题主要是靠站长个人的良好习惯,多备份、勤备份,勿随便将空间权限交给其他人,也勿随便安装非专业的插件或模板。

 

发布 ECShop V2.7.3 release 1106安全漏洞补丁[20131206]

特别提示
补丁下载地址为:download.ecshop.com开头,该地址为ecshop下载站,
如果非以download.ecshop.com开头,请勿下载,同时请反馈给管理员

1、修复gbk版本 sql注入漏洞  危险级 高
2、修复flow.php sql注入漏洞 危险级 高
3、修复支付方式报路径  危险级 中
4、修复模板可执行php文件 危险级中
5、修复ie9 不能使用fck编辑器问题
6、修复flow.php sql 注入漏洞  危险级 高
7、修复fck编辑器 XSS 攻击 危险级中
8、修复flow.php XSS 攻击 危险级高
9、支付宝支付方式sql注入 危险级高
10、后台用户余额增加验证 危险级低(360)
11、后台数据备份增加验证 危险级低(360)
12、修复广告URL跳转问题 危险级中 (360)
13、模板备份默认路径        危险级中 (乌云)
14、修复广告页面XSS攻击和sql注入 危险级高 (乌云)
15、缺货处理XSS 攻击 危险级高  (乌云)
16、用户权限越权修改收货地址 (乌云)
17、修复flow.php XSS 攻击 危险级高 (乌云)
18、购物流程sql注入 危险级高 (乌云)
19、手机端注册sql注入 危险级高 (360)
20、冒充其他用户发表评论 危险级低(乌云)
21、批发页面xss攻击,危机级高 (乌云)

补丁新增项:
22、Csrf式添加管理员 危险级低(乌云)
23、购物流程sql注入 危险级高 (360)
24、限 制模板执行php代码(限 制部分危险代码,危险级中)(乌云)
25、修复留言板用户可删除文件 危险级低(360)
26、修复  收货地址XSS   危险级中 (360)
27、添加商品增加验证  危险级中(乌云)
28、修复对比页 xss 文件 危险低 (360)

热门文章

分类标签