菠萝阁

Z-Blog官方博客

关于应用中心客户端安全漏洞的公告

近日,我们接到上海匡创信息技术有限公司的通知,提醒我们应用中心客户端存在相关漏洞,特此公告。

请大家立即更新“应用中心”插件,以免受到此漏洞的影响。



bb936826ff51b8f9b338d98c8ebac83e.gif

感谢:secz.org SameleTom(https://github.com/SameleTom)


CVE-2018-6656:此漏洞较为严重,可以删除某些特定文件,使您的网站无法正常工作,但您的网站数据,包括文章、评论、用户密码等,仍然是安全的。

CVE-2018-8893:此漏洞极为严重,可能导致您的网站控制权被夺取。


影响范围

  版本:在2018年2月,未更新应用中心到最新版的Z-BlogPHP

  利用前提:1. 网站启用了应用中心客户端 2. 您点击了其他人构造的恶意链接


修复方法

  点击左侧“应用中心”,点击“查找应用更新”,更新“应用中心”插件即可。


因为我们的疏忽给大家的网站造成安全威胁,我们感到非常抱歉,今后我们将更加注重PHP开发中的安全要求。


漏洞提交通道


  由于安全漏洞的特殊性,我们不希望大家通过公开渠道发布漏洞。

  您可以通过以下方式向我们提交漏洞:

        1. 360补天漏洞应急响应中心:https://butian.360.cn/Loo/submit

        2. 阿里云盾先知计划:http://xianzhi.aliyun.com/firm/detail.htm?id=27

        3. 联系邮箱:【Base64】Y29udGFjdEByYWluYm93c29mdC5vcmc=

  • 评论列表:
  •  未寒
     发布于 2018-02-08 21:12:38  回复该评论
  • Windows 10 x64Windows 10 x64 Google Chrome 65.0.3315.4Google Chrome 65.0.3315.4
    已更新
  •  jswaiting
     发布于 2018-02-09 16:34:31  回复该评论
  • Windows 7 x64Windows 7 x64 Google Chrome 45.0.2454.101Google Chrome 45.0.2454.101
    网站已更新
  •  jswaiting
     发布于 2018-02-09 16:35:09  回复该评论
  • Windows 7 x64Windows 7 x64 Google Chrome 45.0.2454.101Google Chrome 45.0.2454.101
    019faf9332da397ce592e9860399e13b这是啥错误?
  •  pyslan
     发布于 2018-04-12 11:45:34  回复该评论
  • Windows 7 x64Windows 7 x64 Firefox 59.0Firefox 59.0
    还好没事,上次鸟e博客事件还记忆如新,把我的大部分数据都干掉了
发表评论,请先  登录

您好,Z-Blog相关网站已开启实名制,请在用户中心注册账号并绑定您的手机,登录后再发表评论。

Powered By Z-BlogPHP 1.5.2 Zero

ZBlogger社区 版权所有. 鄂ICP备11007414号-2.  由又拍云提供CDN支持