ecshop 2.7.2 最新任意用户登录漏洞代码
从代码中可以看出, 当SESSION中不存在用户登录信息的时候, 会查看COOKIE中的$_COOKIE[ECS][user_id]和$_COOKIE[ECS][password]两个变量。如果 两个变量都不为空，则查询user表中user_id为$_COOKIE[ECS][user_id]的用户, 如果该用户存在, 就直接置为登录状态。而对$_COOKIE[ECS][password]在整个判断过程中并未进行使用。
大家都知道，COOKIE是可以伪造的，所以用工具轻松添加这个两个变量， 并设置$_COOKIE[ECS][user_id]为有效值，即可以任意账户登录系统
相同的认证方式，在后台的代码(/admin/include/init.php:229)中却又有比较安全的验证方式， 代码如下: 

ecshop 2.7.2 最新任意用户登录漏洞代码
这里不仅验证了后台用户ID的有效性, 还进一步验证了$_COOKIE[ECSCP][admin_pass]的有效性, 这样就是比较完善的方式。
漏洞简单利用
打开由ecshop 2.7.2构建的商城系统, 当前为未登录状态
打开COOKIE编辑软件, 这里我用的FireFox的插件FireCookie
新建两个COOKIE变量:$_COOKIE[ECS][user_id]和$_COOKIE[ECS][password], 如下图所示: 

ecshop 2.7.2 最新任意用户登录漏洞利用

ecshop 2.7.2 最新任意用户登录漏洞利用
现在刷新页面, 你已经登录了, 登录的用户名显示在右上角
ecshop 2.7.2 最新任意用户登录漏洞利用成功
漏洞的修补
修复漏洞也很简单, 前面贴出的后台代码就是最好的例子,把/include/init.php 261行左右的if语句改为
if (!$row || (md5($row[password] . $_CFG[hash_code]) != $_COOKIE[ECS][password]))
观点
这个漏洞的出现主要是影响前台用户, 对网站服务器的安全性影响不大。当然结合其他漏洞或是社会工程学等的攻击，取得提权也不是不可能的。这里就不说了，各路高手可自由发挥:-)
这算是EC团队的一个严重失误吧，希望官方尽快修复。