压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　vBulletin團隊近日向他們所有客戶發(fā)出警告，其插件VBSEO出現(xiàn)了嚴重安全漏洞。VBSEO是一款應(yīng)用于vBulletin且非常普及的第三方seo模塊，糟糕的是VBSEO官方已經(jīng)在去年停止更新此插件，也就是說沒有人能為漏洞提供官方補丁。

　　科普：vBulletin論壇系統(tǒng)

　　vBulletin是世界上用戶非常廣泛的PHP論壇系統(tǒng)，很多大型論壇都選擇vBulletin搭建自己的社區(qū)。vBulletin高效，穩(wěn)定，安全，在中國也有很多大型客戶，比如蜂鳥網(wǎng)，51團購，海洋部落等在線上萬人的論壇都在使用。

　　vBulletin團隊對這個漏洞進行了研究，預計其可能是一個不需要認證的遠程html腳本注入漏洞，這完全可能會演變成一個遠程命令執(zhí)行漏洞。遺憾的是，我們還沒有完全掌握其細節(jié)。不過可以肯定的是，這個漏洞是非常嚴重的，黑客可以利用它進行惡意軟件掛馬，發(fā)送垃圾郵件，或者直接拿下網(wǎng)站。

　　安全建議

　　如果你正在使用VBSEO，可以使用以下安全措施：

　　1.直接拋棄VBSEO，畢竟它已經(jīng)不再更新

　　2.打上vBulletin給出的補丁

　　3.在網(wǎng)站上裝WAF，統(tǒng)一規(guī)避這一類的問題

　　官方修復方法

　　這里有一個簡單的修復方法，只需更改幾行代碼

　　在vbseo/includes/functions_vbseo_hook.php里：

　　if(isset($_REQUEST[‘ajax’]) && isset($_SERVER[‘HTTP_REFERER’]))

　　$permalinkurl = $_SERVER[‘HTTP_REFERER’].$permalinkurl；

　　應(yīng)該改為：

　　// if(isset($_REQUEST[‘ajax’]) && isset($_SERVER[‘HTTP_REFERER’]))

　　// $permalinkurl = $_SERVER[‘HTTP_REFERER’].$permalinkurl；

　　如果你正在運行“可疑文件版本”檢測工具，你需要在更新在upload/includes/md5_sums_crawlability_vbseo.php里functions_vbseo_hook.php的MD5值，以保證這個簡單的補丁不會報毒。