好心人“活雷锋”发现漏洞正在紧急升级

admin

2019年7月4日，弘帝建站系统收到好心人薯名“活雷锋”发现KE漏洞。由于是开源系统，所以第一时间想到更名文件夹，肯定是不行的。
2019年7月10日，该漏洞列入修补队列。
开发团队紧急处理时，该漏洞主要是由于2018年核心组件由ECMS升级到FCMS时未对Session进行判断所致，原因找到，解决办法也很简单。
1、添加核心组件判断功程。
2、排除htm与html文件类型的上传功能，让html不再成为传播对象。
3、紧急处理服务器相关文件夹。

此开发过程大约10分钟左右。所有服务器升级约4小时左右。
该安全漏洞的安全级别较低，由于不能上传可执行文件，且不会影响除上传文件夹外的文件，故不会对建站系统造成较大的危害，并未列入即时紧急升级对象，请广大用户不必过于紧张。
同时提醒广大使用，开源软件由于目录暴露，文件暴露被发现各种漏洞，属于极正常的现象。弘帝建站系统经过7年开发，既使开源也极少被暴露重大漏洞，正反映了弘帝建站系统的安全级别相当的高。

弘帝建站系统被多个安全机制查出存在重大安全隐患，也只是隐患，其实并不是漏洞（比如短文件名漏洞，对于开源系统来说本来就是公开的，不用担心文件名被泄，文件被破，也就是隐患并不存在）。