WEB安全

【漏洞预警】Z-Blog程序存在高危0day漏洞

z-bolg  漏洞预警
 

简介:

该程序最早于2005年推出,经历多次版本升级,其拥有强大的功能,特性包括:

1.支持主题、插件等功能和配置,打造个性化博客;

2.zblogasp版本支持Access+MYSQL双数据库,可实现静态化、伪静态、动态页面;

3.zblogphp版本[1] 支持支持MySQL(MariaDB)和SQLite双数据库,可实现伪静态、动态页面;

4.广泛支持IE(最新版后台不支持IE6)、Chrome、Firefox、Opera、Safari多种浏览器;Z-Blog默认模板1

4.拥有移动版博客,支持智能手机管理以及离线写作软件

发现者

安全周@上海匡创-Tom
漏洞编号:CVE-2018-6656

脆弱性的影响

CSRF攻击可以用于Z-BlogPHP安全措施。

最大安全评级

受影响的版本

Z-BlogPHP 1.5.1 Zero 及以下

问题描述

当执行app_del.php文件则会造成rrmdir($dir)执行,删除zb_users目录及文件造成网站直接无法访问,并报错。

解决办法

请在app_del.php文件中增加验证:

增加Referer验证或者增加其他的验证

大家都在看

奇缘|不速之客

奇缘|偶遇

常规WEB渗透测试漏洞描述及修复

【招聘】我在这里等着你

┣ 不同行业网站漏洞集合

(6)

本文由 安全周 作者:SecJack 发表,转载请注明来源!

关键词:

热评文章

发表评论

评论: 2 条评论,访客:2 条,博主:0 条