重要通知!Lagom WHMCS 客户主题的安全更新
我们遗憾地通知您,我们在 Lagom WHMCS 客户主题中发现了一个严重的漏洞,这可能会对您的 WHMCS 系统构成潜在的安全风险。我们为给您带来的任何不便表示歉意,并将系统的安全作为我们的首要任务。
需要立即采取行动
为解决此问题,我们已为所有产品版本开发了补丁。这些补丁也将包含在 Lagom WHMCS 客户主题包中,从版本 1.5.0 开始。
迅速安装这些补丁对您系统的保护至关重要。请按照下面的步骤进行指导:
下载补丁
1. 访问 RS Studio 客户门户网站并登录您的账户。
2. 导航至您的 Lagom WHMCS 客户主题产品的管理页面。
3. 在左侧边栏选择“补丁”。
4. 下载与您版本相对应的补丁(例如,对于 Lagom 客户主题 v2.1.4,请下载 v2.1.4 – security fix)。
安装补丁
1. 解压下载的文件夹。
2. 通过 FTP 将 /php71+/ 文件夹的内容上传至您的 WHMCS 安装目录。
3. 确保所有文件正确无误地上传。
检查是否被感染
要验证您的安装是否已被感染,请按照以下步骤操作:
1. 在您的服务器上,导航至 /templates/lagom2/assets/img/clients/。注意,如果没有 /clients/ 文件夹,则表示没有上传任何 PHP 文件,因此您的安装应该是安全的。
2. 检查目录中是否有任何 PHP 文件。请注意,任何 PHP 文件的存在都可能对您的系统构成安全风险,因此您应该按照下面描述的步骤进行操作。
发现未授权文件的即时行动
如果发现有未授权的 PHP 文件,请立即采取行动:
1. 从您的服务器下载可疑的 PHP 文件。
2. 从您的服务器中移除这个可疑文件。
3. 压缩该文件并为分析做好准备。
4. 将该文件提交给我们的团队进行进一步的调查 – 报告代码。
关于安全问题
该问题涉及到一个特定的功能,该功能允许客户在登录 WHMCS 客户区域时上传图片文件(PNG、JPG、SVG 和 GIF)。该功能使用 PHP MIME 类型检查来确保只能上传这些图片格式。然而,我们发现 MIME 功能的安全措施并不完全可靠。
我们注意到,熟练的黑客可能利用这个功能。他们可以通过执行特定的 URL 来绕过预期的限制,从而上传 PHP 文件。这个漏洞构成了重大的安全风险。
我们想向您保证,Lagom 客户主题从未使用过此功能。作为预防措施,我们已完全从插件文件中移除了这个功能,以消除任何潜在风险。
我们的团队已对所有插件文件进行了彻底的调查,以寻找其他任何漏洞。我们很高兴地报告,没有发现其他重大安全问题。然而,作为我们持续增强产品安全性和完整性的承诺的一部分,我们计划在即将发布的 2.2.4 版本中发布更多的安全改进,该版本计划于 2 月份发布。
您的安全和对我们产品的信任对我们至关重要。我们致力于为您提供最安全、最可靠的体验。如果您有任何问题或疑虑,请随时通过我们的联系表格联系我们的支持团队。
感谢您对此事的关注以及您持续的支持。
