帖子標題：[分享] 發布ECShop V2.7.2 release 0604 安全漏洞補丁[20110214] mysql

cenrgd

1、 發貨 單 批量 操作時候， 提示 錯誤
2、手機 購物 出現錯誤
3、低版本 mysql 提交 訂單 出現錯誤
4、關閉庫存 管理 且庫存不足，禮包不能購買
5、 郵件 雜誌中添加插入圖片插入相對路徑導致發送郵件圖片無法顯示
6、Search.php 頁面 過濾不嚴導致SQL注入漏洞以及 後台 開店嚮導會產生的漏洞
7、flow 文件 過濾不嚴
8、 前台 用戶 越權操作
9、禮包id未過濾
10、fck漏洞爆路徑危險級中
11、 商品 列表 組合sql時，對條件少了一層過濾。 危險級中  【wooyu提供】
12、Ecshop2.7.2持久型XSS危險級中 【wooyu提供】
13、mobile的 搜索 添加過濾  
14、文件api/checkorder.php 添加過濾危險級中
15、 支付 方式註射漏洞

utf8：   
gbk：  

轉載ECSHOP大陸官方
請版大轉貼至程式發怖區 謝謝

Herry

類似回復 張貼於duke 大大的帖子 http://ecshop.tw/bbs/viewthread. ... =%E8%A3%9C%E4%B8%81
但是尚未有人回應，所以再度
張貼類似回復如下:

我的ecshop 2.7.2 後台首頁出現訊息!
"最新补丁: 27220110214010, 发布日期: 2011-02-14.点击下载最新补丁"
補充 樓主 大大 的問題如下:
ECShop的後台是不是原本就是會自動提醒下載最新補丁?
若不是的話, 為了得到最新補丁的訊息, 是否該定期上對岸的官方論壇搜尋補丁?
各位前輩大大 勞煩回應一下! 感恩!
原諒我的無知! 2011/01/13 才開始接觸ECShop的。
P.S.
後台出現的訊息鍊結點: 對岸ECShop的官方論壇 http://bbs.ecshop.com/thread-146345-1-2.html
補丁是 patch 010 (天啊!我的最新補丁是patch003! 差太多了吧! 是從本論壇下載的)
由上述鍊結點的對岸網友回應，得知 2010年的最後一個補丁是patch009。

joushanq

我今天開啟後台,也出現這訊息
最新补丁: 27220110214010, 发布日期: 2011-02-14.点击下载最新补丁
載點是http://bbs.ecshop.com/thread-146345-1-2.html
我點了之後出現無法顯示網頁
http://www.ecshop.com也是一樣打不開
http://bbs.ecshop.com還是一樣打不開
那a安捏...
重點是...拿來更新..安全嗎..呵呵呵...

you168

後台會出現連結告知？？？？那是不是代表後台都被監控阿？？？？挖勒！！！
如真是這樣該如何選擇與處理阿
有請知道的大大幫忙說明一下囉！

hivenus

後台
admin\templates\start.htm
第11行
<!-- <script type="text/javascript" src="http://bbs.ecshop.com/notice.php?v=1&n=8&f=ul"></script>-->
註解或刪掉它
就不再通知了

沒補丁的,建議您快點打上丁
被黑了,真的很獄足