ECSHOP /mobile/admin/edit_languages.php

 

漏洞名称：ecshop代码注入漏洞

补丁编号：10017531

补丁文件：/mobile/admin/edit_languages.php

补丁来源：云盾自研

更新时间：2017-01-05 08:41:29

漏洞描述：ecshop后台模版编译导致黑客可插入任意恶意代码。

 

else

        {

            $_POST['item_content'][$i] = str_replace('\\\\n', '\\n', $_POST['item_content'][$i]);

        /*

        这行是patch代码的关键，将原本的双引号("")改为了单引号('')，有效地组织了代码注入后的执行

        */

            $dst_items[$i] = $_POST['item_id'][$i] .' = '. '\'' .$_POST['item_content'][$i]. '\';';

        }