ECShop远程代码执行高危漏洞

叮叮

漏洞描述ECShop的user.php文件中的display函数的模版变量可控，导致注入，配合注入可达到远程代码执行。攻击者无需登录站点等操作，直接可以利用漏洞获取服务器权限，危害严重。危害评级严重 影响范围ECShop全系列版本，包括2.x,3.0.x,3.6.x等
解决方案:

修改include/lib_insert.php中相关漏洞代码，将$arr[id]和$arr[num]强制转换成int型，如下：
$arr[id]=intval($arr[id])
$arr[num]=intval($arr[num])