AkCms v4.0.2

  • 时间:
  • 浏览:2

  AkCms 官方近日发表声明了指在于v4.0.2-4.0.9的一另另另4个严重安全漏洞,提醒站长你们及时修复。

  利用该漏洞黑客需要自行构造一另另另4个cookie,可直接获得后台权限,从4.0.1以下版本升级上来的站点不受影响,启用了自定义后台目录(咋样自定义后台目录?http://www.akcms.com/manual/custom-core-path.htm)的站点不受影响。

  请马上按照下面的法律法律依据进行修复:

  请打开configs/config.inc.php,将

  $codekey = "akcms";

  中的akcms改成一串别人猜只有的随机数,比如:khowda0、17fyw95j,长度不限。

  改完前一天应该类式没法 的:

  $codekey = "lhk73hf2";

  咋样让 保存,修补完毕。

  解释:

  这名 漏洞产生的意味着是,从4.0.2版开始英文了了了重写了安装脚本中生成配置文件的代码。逻辑是:不可能 读到了配置项的值,就以此值为准;但安装过程中系统尚未生成配置文件,此一定会有一另另另4个临时的固定配置项(临时值是akcms),这名 配置项的指在意味着了,系统误认为没法 指定过$codekey,就仍然沿用了akcms,意味着了有有哪些版本安装后的网站的codekey有无一样的;正常情形下系统应该自动生成一串$codekey。

  危害:

  不可能 网站是从4.0.2-4.0.9版本安装的,咋样让 未自定义后台目录(咋样自定义后台目录?http://www.akcms.com/manual/custom-core-path.htm),也没法 按照上端说的重置$codekey。黑客需要自行构造一另另另4个cookie,可直接获得后台权限。

  再次出現没法 严重的漏洞,是我在写系统进程时粗心大意,测试缺乏造成的结果,在此我深表歉意。AKCMS站长你们们不可能 不选者个人有无不可能 补上了这名 漏洞,帮我帮助检查代码;你会个人动手,我也需要代劳(免费,我的QQ:2634250389)(例外一次:破解用户也可享受此免费服务)。

  不过从没法 侧面说明了,自定义后台目录的机制真的是很有用的(咋样自定义后台目录?http://www.akcms.com/manual/custom-core-path.htm)。

  原文地址:http://www.akcms.com/dynamic/reset-safecode.htm