【风险描述】

  ECShop全系列版本存在远程代码执行漏洞，攻击者可通过WEB远程代码注入方式，无需登录等操作，直接获得服务器权限。该漏洞利用难度低，危害大，近期互联网上已经发现有大量利用此漏洞的攻击行为，请存在相关业务的用户及时关注并进行修补。

【风险评级】

   高危

【影响范围】

  ECShop全系列版本（包括2.x、3.0.x、3.6.x）

【预防建议】

  1.  官方暂未发布补丁：请及时关注官方补丁发布并升级补丁

  2.  缓解措施：修改include/lib_insert.php文件中漏洞的代码，将$arr[id]和$arr[num]强制将数据转换成整型，需要修改的部分代码如下

【参考链接】                                                      

  https://www.anquanke.com/post/id/158677

  注意：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2018-9-3