大米cms开启静态时一处较严重的安全隐患更新-金沙娱场城app

追影 · 发表于 2015-3-19 18:06:58

本帖最后由追影于 2015-3-25 11:16 编辑

大米cms开启静态时一处较严重的安全隐患更新【2015.3.19】

漏洞描述：大米cms在开启静态情况下，仍会解析执行html目录的静态文件的php代码

黑客如果想办法恶意构造静态内容比如php代码到静态文件中从而将产生严重危害

修复方法：

漏洞位置： web -》lib -》action -> baseaction.class.php 行 58 左右

查找

$this->display($static_file);

复制代码

替换成

$fp = fopen($static_file,"r");
$constr = fread($fp,filesize($static_file));
fclose($fp);
echo $constr;

复制代码

不再解析html中有关任何php东西即可

不懂代码的，可以到下载中心下载最新版本

发表于 2015-3-19 21:18:37

支持！更新很快啊！

发表于 2015-3-20 12:00:52

web -》lib -》没有baseaction.class.php 这个文件
刚下载新版的

发表于 2015-3-20 12:03:37

另，问下：更新版本，需要替换哪些文件？

追影 · 发表于 2015-3-25 11:16:07

web->lib -> action 里面

追影 · 发表于 2015-3-28 14:15:32

最新版本已支持一键更新到最新版

besteast · 发表于 2017-2-13 14:35:08

freecms · 发表于 2017-5-17 08:39:50

提示: 作者被禁止或删除内容自动屏蔽

大米cms开启静态时一处较严重的安全隐患更新-金沙娱场城app

授权用户

商城钻石vip

		自动登录
密码			注册大米会员