更新内容:
修复了上传图片接口存在的漏洞。
安全级别
高
涉及版本
AKCMS2.3及之后版本
修补方法:
最简单的方法是把akcms目录改得复杂一些并且不要暴露出去,这个漏洞就没有危害。不过为了保险起见,最好也按照下面的方法打上补丁。
2.6.2请下载补丁包,解压缩覆盖文件
http://www.akcms.com/download/sp/sp20100124.zip
如果您的版本较老或已经做了二次开发无法直接覆盖,请手动进行如下修改:
upload.php:
将
if(!ispicture($filename)) debug($lan['pictureexterror'], 1, 1);
插入到
$filename = $file_uploadfile['name'];
上面
include/admin.inc.php:
将5-11行替换为:
if(empty($admin_id)) {
if(empty($_SERVER['QUERY_STRING'])) {
go($systemurl."login.php");
} else {
go($systemurl."login.php?preurl=".urlencode($_SERVER['REQUEST_URI']));
}
}
include/common.inc.php:
将
$admin_id = '';
插入到
if(isset($cookie_auth)) {
之前。
有困难请联系我,我帮您解决,给您造成的困扰,敬请谅解。
再次提醒,没有绝对安全的系统,所以
千万不要把后台目录名暴露出去。比如这个漏洞,如果别人不知道你的后台目录就没有危害。
