5月22日,PHPCMS官方发布PC V9.5.6正式版及升级补丁,主要修正了后台url规则可写入.php扩展bug、友情连接审核存在的pc_hash泄漏bug、以及部分错误,这次升级值得注意。同时可以关注下一直存在的Phpcms snid XSS bypass,此次CMSYOU在这里分享的一处XXS漏洞是api/video_api.php第17行的$_GET['snid'],需要进行htmlspecialchars处理。
具体方法:
修改api/video_api.php第17行左右:
snid='.$_GET['snid'].'
为:
snid='.htmlspecialchars($_GET['snid']).'
PHPCMS V9.5.6升级说明:
1、上传upload中的文件到网站根目录,覆盖原有文件。
本补丁适用于20140430版本,升级到20140522版本。
PHPCMS V9.5.6功能变更及bug修正说明:
- 修正后台url规则可写入.php扩展bug
- 修复批量移动的多余链接
- 修复xss漏洞
- 修复友情连接审核存在的pc_hash泄漏bug
- 开发者信息乱码修正
- 修复友情链接乱码
- 修正关键字存在 单引号时,生成静态报错
- 修改模板的默认值
- 修正php高版本下的 utf8编码网站无法采集问题
- 修改默认的php 超时时间限制。
PHPCMS V9.5.6完整版下载地址:
GBK版本:http://download.phpcms.cn/v9/9.5/phpcms_v9.5.6_GBK.zipUTF-8版本:http://download.phpcms.cn/v9/9.5/phpcms_v9.5.6_UTF8.zip
PHPCMS V9.5.5升级到PHPCMS V9.5.6补丁下载地址:
GBK版本:http://download.phpcms.cn/v9/9.0/patch/gbk/patch_20140430_20140522_GBK.zip
UTF-8版本:http://download.phpcms.cn/v9/9.0/patch/utf8/patch_20140430_20140522_UTF8.zip
最后,CMSYOU在这里向大家问好,最新成员们都忙于项目,比较久没有分享PC方面的建站经验了,抱歉。欢迎在CMSYOU官方微博互动!
点击加载更多