EC-CUBE 4.0系列:关于跨站点脚本漏洞 最新发现
计弘
事实证明,EC-CUBE 4.0系列中存在一个漏洞。
已经确认使用此漏洞的多种攻击,并且它是高风险漏洞,请尽快采用以下任何一种方法。
- 方法1:更新代码
- 方法2:升级EC-CUBE的版本
方法1 更新代码(对于那些已自定义EC-CUBE主机 有源代码的人)。
- 找到目标文件
src/Eccube/Resource/template/admin/Order/mail_confirm.twig
请在第114行左右更改。更改之前
{{ form.tpl_data.vars.data|trans|raw|nl2br }}变更后
{{ form.tpl_data.vars.data|trans|nl2br }}
如果该文件存在于下面路径,请以相同的方式进行更正。
/app/template/admin/Order/mail_confirm.twig - 删除缓存
请登录到EC-CUBE管理屏幕,然后从内容管理->缓存管理页面中删除缓存。
方法2 升级到最新版本。
个人更建议使用方法1,因为自定义的东西可能太多了啊,怕更新后误操作 将代码弄没了。
类似资料: