WEB安全
【漏洞预警】Z-Blog程序存在高危0day漏洞
简介:
该程序最早于2005年推出,经历多次版本升级,其拥有强大的功能,特性包括:
1.支持主题、插件等功能和配置,打造个性化博客;
2.zblogasp版本支持Access+MYSQL双数据库,可实现静态化、伪静态、动态页面;
3.zblogphp版本[1] 支持支持MySQL(MariaDB)和SQLite双数据库,可实现伪静态、动态页面;
4.广泛支持IE(最新版后台不支持IE6)、Chrome、Firefox、Opera、Safari多种浏览器;Z-Blog默认模板1
4.拥有移动版博客,支持智能手机管理以及离线写作软件
发现者
脆弱性的影响
CSRF攻击可以用于Z-BlogPHP安全措施。
最大安全评级
高
受影响的版本
Z-BlogPHP 1.5.1 Zero 及以下
问题描述
当执行app_del.php文件则会造成rrmdir($dir)执行,删除zb_users目录及文件造成网站直接无法访问,并报错。
解决办法
请在app_del.php文件中增加验证:
增加Referer验证或者增加其他的验证
大家都在看
┣ 奇缘|偶遇
本文由 安全周 作者:SecJack 发表,转载请注明来源!
SecJack
文章:96游荡在网络当中的小白
相关文章
热评文章
最赞的文章
发表评论
您必须[登录] 才能发表留言!
怎么申请到cve的?
正常提交
用户登录