近日,我们接到上海匡创信息技术有限公司的通知,提醒我们应用中心客户端存在相关漏洞,特此公告。
请大家立即更新“应用中心”插件,以免受到此漏洞的影响。
感谢:secz.org SameleTom(https://github.com/SameleTom)
CVE-2018-6656:此漏洞较为严重,可以删除某些特定文件,使您的网站无法正常工作,但您的网站数据,包括文章、评论、用户密码等,仍然是安全的。
CVE-2018-8893:此漏洞极为严重,可能导致您的网站控制权被夺取。
影响范围
版本:在2018年2月,未更新应用中心到最新版的Z-BlogPHP
利用前提:1. 网站启用了应用中心客户端 2. 您点击了其他人构造的恶意链接
修复方法
点击左侧“应用中心”,点击“查找应用更新”,更新“应用中心”插件即可。
因为我们的疏忽给大家的网站造成安全威胁,我们感到非常抱歉,今后我们将更加注重PHP开发中的安全要求。
漏洞提交通道
由于安全漏洞的特殊性,我们不希望大家通过公开渠道发布漏洞。
您可以通过以下方式向我们提交漏洞:
1. 360补天漏洞应急响应中心:https://butian.360.cn/Loo/submit
2. 阿里云盾先知计划:http://xianzhi.aliyun.com/firm/detail.htm?id=27
3. 联系邮箱:【Base64】Y29udGFjdEByYWluYm93c29mdC5vcmc=