设为首页收藏本站
开启辅助访问 切换到宽版

大米CMS官网论坛,大米站长联盟,大米站长之家,大米开发者社区

 找回密码
 注册大米会员

QQ登录

只需一步,快速开始

一键js接入直播
返回列表 发新帖
查看: 10453|回复: 7
打印 上一主题 下一主题

大米CMS开启静态时一处较严重的安全隐患更新

[复制链接]
追影

509

主题

787

帖子

7978

积分

超级版主

Rank: 8Rank: 8

积分
7978

授权用户商城金牌VIP
跳转到指定楼层
楼主
发表于 2015-3-19 18:06:58 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 追影 于 2015-3-25 11:16 编辑

大米CMS开启静态时一处较严重的安全隐患更新【2015.3.19】

漏洞描述:大米CMS在开启静态情况下,仍会解析执行Html目录的静态文件的PHP代码

黑客如果想办法恶意构造静态内容 比如php代码到静态文件中 从而将产生严重危害

修复方法:

漏洞位置: Web -》lib -》action -> BaseAction.class.php 行 58 左右

查找

  1. $this->display($static_file);
复制代码



替换成


  1. $fp = fopen($static_file,"r");
  2. $conStr = fread($fp,filesize($static_file));
  3. fclose($fp);
  4. echo $conStr;
复制代码



不再解析html中有关任何php东西 即可

不懂代码的,可以到下载中心下载最新版本

分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享
回复

使用道具 举报

xiaoyoy

0

主题

1

帖子

4

积分

新手上路

Rank: 1

积分
4
沙发
发表于 2015-3-19 21:18:37 | 只看该作者
支持!更新很快啊 !
回复 支持 反对

使用道具 举报

12345600

0

主题

3

帖子

20

积分

新手上路

Rank: 1

积分
20
板凳
发表于 2015-3-20 12:00:52 | 只看该作者
Web -》lib -》 没有BaseAction.class.php 这个文件
刚下载新版的
回复 支持 反对

使用道具 举报

12345600

0

主题

3

帖子

20

积分

新手上路

Rank: 1

积分
20
地板
发表于 2015-3-20 12:03:37 | 只看该作者
另,问下:更新版本,需要替换哪些文件?
回复 支持 反对

使用道具 举报

追影

509

主题

787

帖子

7978

积分

超级版主

Rank: 8Rank: 8

积分
7978

授权用户商城金牌VIP
5#
 楼主| 发表于 2015-3-25 11:16:07 | 只看该作者
web->lib -> action 里面
回复 支持 反对

使用道具 举报

追影

509

主题

787

帖子

7978

积分

超级版主

Rank: 8Rank: 8

积分
7978

授权用户商城金牌VIP
6#
 楼主| 发表于 2015-3-28 14:15:32 | 只看该作者
最新版本已支持一键更新到最新版
回复 支持 反对

使用道具 举报

Besteast

0

主题

45

帖子

112

积分

新手上路

Rank: 1

积分
112
7#
发表于 2017-2-13 14:35:08 | 只看该作者
饮用水过滤
回复

使用道具 举报

freecms

0

主题

89

帖子

234

积分

禁止发言

积分
234
8#
发表于 2017-5-17 08:39:50 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册大米会员

本版积分规则

QQ|小黑屋|大米CMS社区 ( 蜀ICP备11002200号-2广告联系:广告联系 

Powered by 大米CMS

© 2010-2020 大米CMS Inc.

快速回复 返回顶部 返回列表