应用需要重新结合以防止与PHP相关的安全缺陷
最近在书表中修补的关键脆弱性使推动成为可能恶意软件只需访问图像上传功能即可进入弱势系统。
远程代码执行漏洞的利用方案(CVE-2020-5256)在书店中 - 构建自托管Wiki的应用程序 - 不受信任的用户有权将图像上传到应用程序中的中心。
“用户可以通过图像上传函数上传PHP文件,这将使他们能够远程执行主机系统,”咨询发表在Github上解释。
“然后,他们将拥有PHP过程的权限。”
漏洞已解决书片版本0.25.5。
另外,开发人员应通过应用限制性Web服务器配置设置来防止直接执行任何PHP文件。beplay体育能用吗
