菠萝阁 ZBLOGCN.COM

Z-Blog官方博客

关于应用中心客户端安全漏洞的公告🦄

近日,我们接到上海匡创信息技术有限公司的通知,提醒我们应用中心客户端存在相关漏洞,特此公告。

请大家立即更新“应用中心”插件,以免受到此漏洞的影响。



bb936826ff51b8f9b338d98c8ebac83e.gif

感谢:secz.org SameleTom(https://github.com/SameleTom)


CVE-2018-6656:此漏洞较为严重,可以删除某些特定文件,使您的网站无法正常工作,但您的网站数据,包括文章、评论、用户密码等,仍然是安全的。

CVE-2018-8893:此漏洞极为严重,可能导致您的网站控制权被夺取。


影响范围

  版本:在2018年2月,未更新应用中心到最新版的Z-BlogPHP

  利用前提:1. 网站启用了应用中心客户端 2. 您点击了其他人构造的恶意链接


修复方法

  点击左侧“应用中心”,点击“查找应用更新”,更新“应用中心”插件即可。


因为我们的疏忽给大家的网站造成安全威胁,我们感到非常抱歉,今后我们将更加注重PHP开发中的安全要求。


漏洞提交通道


  由于安全漏洞的特殊性,我们不希望大家通过公开渠道发布漏洞。

  您可以通过以下方式向我们提交漏洞:

        1. 360补天漏洞应急响应中心:https://butian.360.cn/Loo/submit

        2. 阿里云盾先知计划:http://xianzhi.aliyun.com/firm/detail.htm?id=27

        3. 联系邮箱:【Base64】Y29udGFjdEByYWluYm93c29mdC5vcmc=

Powered By Z-BlogPHP 1.7.0 Alpha

ZBLOGCN.COM 版权所有. 鄂ICP备11007414号-2.  由又拍云提供CDN及云存储服务