大米CMS官网论坛，大米站长联盟，大米站长之家，大米开发者社区

标题: 大米CMS开启静态时一处较严重的安全隐患更新 [打印本页]

---

作者: 追影    时间: 2015-3-19 18:06
标题: 大米CMS开启静态时一处较严重的安全隐患更新


大米CMS开启静态时一处较严重的安全隐患更新【2015.3.19】

漏洞描述：大米CMS在开启静态情况下，仍会解析执行Html目录的静态文件的PHP代码

黑客如果想办法恶意构造静态内容 比如php代码到静态文件中 从而将产生严重危害

修复方法：

漏洞位置： Web -》lib -》action -> BaseAction.class.php 行 58 左右

查找

1. $this->display($static_file);

复制代码

替换成

1. $fp = fopen($static_file,"r");
   
2. $conStr = fread($fp,filesize($static_file));
   
3. fclose($fp);
   
4. echo $conStr;

复制代码

不再解析html中有关任何php东西 即可

不懂代码的，可以到下载中心下载最新版本

---

作者: xiaoyoy    时间: 2015-3-19 21:18
支持！更新很快啊 ！

---

作者: 12345600    时间: 2015-3-20 12:00
Web -》lib -》 没有BaseAction.class.php 这个文件
刚下载新版的

---

作者: 12345600    时间: 2015-3-20 12:03
另，问下：更新版本，需要替换哪些文件？

---

作者: 追影    时间: 2015-3-25 11:16
web->lib -> action 里面

---

作者: 追影    时间: 2015-3-28 14:15
最新版本已支持一键更新到最新版

---

作者: Besteast    时间: 2017-2-13 14:35

---

作者: freecms    时间: 2017-5-17 08:39
提示: 作者被禁止或删除 内容自动屏蔽

---

欢迎光临 大米CMS官网论坛，大米站长联盟，大米站长之家，大米开发者社区 (https://www.damicms.com/bbs/)

Powered by Discuz! X3.1