大米CMS开启静态时一处较严重的安全隐患更新

追影

大米CMS开启静态时一处较严重的安全隐患更新【2015.3.19】

漏洞描述：大米CMS在开启静态情况下，仍会解析执行Html目录的静态文件的PHP代码

黑客如果想办法恶意构造静态内容 比如php代码到静态文件中 从而将产生严重危害

修复方法：

漏洞位置： Web -》lib -》action -> BaseAction.class.php 行 58 左右

查找

1. $this->display($static_file);

复制代码

替换成

1. $fp = fopen($static_file,"r");
   
2. $conStr = fread($fp,filesize($static_file));
   
3. fclose($fp);
   
4. echo $conStr;

复制代码

不再解析html中有关任何php东西 即可

不懂代码的，可以到下载中心下载最新版本

xiaoyoy

支持！更新很快啊 ！

12345600

Web -》lib -》 没有BaseAction.class.php 这个文件
刚下载新版的

12345600

另，问下：更新版本，需要替换哪些文件？

追影

web->lib -> action 里面

追影

最新版本已支持一键更新到最新版

Besteast