官网: 发布 ECShop V2.7.2 release 0604 以及其他版本安全漏洞补丁[20110323]

1、发货单批量操作时候，提示错误
2、手机购物出现错误
3、低版本mysql 提交订单出现错误
4、关闭库存管理且库存不足， 礼包不能购买
5、邮件杂志中添加插入图片插入相对路径导致发送邮件图片无法显示
6、Search.php页面过滤不严导致SQL注入漏洞以及后台开店向导会产生的漏洞
7、flow文件过滤不严
8、前台用户越权操作
9、礼包id未过滤
10、fck漏洞爆路径 危险级 中
11、商品列表组合sql时，对条件少了一层过滤。 危险级 中  【wooyu提供】
12、Ecshop2.7.2持久型XSS    危险级 中 【wooyu提供】
13、mobile的搜索添加过滤  
14、文件api/checkorder.php 添加过滤 危险级中
15、支付方式注射漏洞
16、XSS脚本跨站漏洞修复  危险级中  感谢@zhufeng16提供
17、calendar.php 添加过滤 危险级中
18、ecshop模板文件过滤php标签 危险级中

ECshop2.7.2
utf8:  ECShop_2_7_2_UTF8_patch013.rar (212.2 KB)   
gbk:  ECShop_2_7_2_GBK_patch013.rar (207.2 KB)


ECshop2.7.1
utf8:  ecshop271_utf8.rar (8.59 KB)
gbk:  ecshop271_gbk.rar (8.58 KB)

ECshop2.7.0
utf8:  ecshop270_utf8.rar (8.59 KB)
gbk:  ecshop270_gbk.rar (8.41 KB)


ECshop2.6.2
utf8:  ecshop_262utf8.rar (8.59 KB)
gbk:  ecshop262_gbk.rar (8.41 KB)

ECshop2.6.1
utf8:  ecshop261_utf8.rar (8.59 KB)
gbk:  ecshop261_gbk.rar (8.41 KB)


ECshop2.6.0
utf8:  ecshop260_utf8.rar (8.52 KB)
gbk:  ecshop260_gbk.rar (8.34 KB)

ECshop2.5.0
ecshop250.rar (7.97 KB)


如果已经打上
http://bbs.ecshop.com/th...2-1-1.html
的补丁，可以只上传
includes/cls_template.php
admin/patch_num

这个补丁主要修复模板中带有的php标签，提高模板安全性。由于以前模板文件是可带有php程序的，所以有些开发商为了保持源程序不变，在模板中加入了php代码（这个主要是为了升级，如果更改了源代码，升级十分不方便，也是为了用户考虑）。如您使用的是第三方模板，打上补丁后错误，请用同一编码的2.7.1中的includes/cls_template.php覆盖或者是去掉该文件中的287行的        $source = preg_replace("/<\?[^><]+\?>/i", "", $source);。（官网的2.7.2下载包已经打上补丁），如果您属于这类用户，请只上传admin/patch_num，不要上传includes/cls_template.php


繁化挡: