ECSHOP 2.6 calendar.php本地包含漏洞

ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。 在文件js/calendar.php中： &lt;code&gt;$lang = (!empty($_GET['lang'])) ? trim($_GET['lang']) : 'zh_cn'; if (!file_exists('../languages/' . $lang . '/calendar.php')) { $lang = 'zh_cn'; } require(dirname(dirname(__FILE__)) . '/data/config.php'); header('Content-type: application/x-javascript; charset=' . EC_CHARSET); include_once('../languages/' . $lang . '/calendar.php');&lt;/code&gt; 变量$lang没有过滤导致本地包含漏洞的产生 ECShop是一款B2C独立网店系统,适合企业及个人快速构建个性化网上商店。系统是基于PHP语言及MYSQL数据库构架开发的跨平台开源程序。 在文件js/calendar.php中： <pre class="prettyprint linenums">$lang = (!empty($_GET['lang'])) ? trim($_GET['lang']) : 'zh_cn'; if (!file_exists('../languages/' . $lang . '/calendar.php')) { $lang = 'zh_cn'; } require(dirname(dirname(__FILE__)) . '/data/config.php'); header('Content-type: application/x-javascript; charset=' . EC_CHARSET); include_once('../languages/' . $lang . '/calendar.php');</pre> 变量$lang没有过滤导致本地包含漏洞的产生 ECSHOP 2.6 sebug临时解决办法 对变量$lang过滤 ---- 目前厂商提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本： http://www.ecshop.com/