标签： 安全

重要通知！Lagom WHMCS 客户主题的安全更新

我们遗憾地通知您，我们在 Lagom WHMCS 客户主题中发现了一个严重的漏洞，这可能会对您的 WHMCS 系统构成潜在的安全风险。我们为给您带来的任何不便表示歉意，并将系统的安全作为我们的首要任务。

需要立即采取行动

为解决此问题，我们已为所有产品版本开发了补丁。这些补丁也将包含在 Lagom WHMCS 客户主题包中，从版本 1.5.0 开始。

迅速安装这些补丁对您系统的保护至关重要。请按照下面的步骤进行指导：

下载补丁

1. 访问 RS Studio 客户门户网站并登录您的账户。

2. 导航至您的 Lagom WHMCS 客户主题产品的管理页面。

3. 在左侧边栏选择“补丁”。

4. 下载与您版本相对应的补丁（例如，对于 Lagom 客户主题 v2.1.4，请下载 v2.1.4 – security fix）。

安装补丁

1. 解压下载的文件夹。

2. 通过 FTP 将 /php71+/ 文件夹的内容上传至您的 WHMCS 安装目录。

3. 确保所有文件正确无误地上传。

检查是否被感染

要验证您的安装是否已被感染，请按照以下步骤操作：

1. 在您的服务器上，导航至 /templates/lagom2/assets/img/clients/。注意，如果没有 /clients/ 文件夹，则表示没有上传任何 PHP 文件，因此您的安装应该是安全的。
2. 检查目录中是否有任何 PHP 文件。请注意，任何 PHP 文件的存在都可能对您的系统构成安全风险，因此您应该按照下面描述的步骤进行操作。

发现未授权文件的即时行动

如果发现有未授权的 PHP 文件，请立即采取行动：

1. 从您的服务器下载可疑的 PHP 文件。
2. 从您的服务器中移除这个可疑文件。
3. 压缩该文件并为分析做好准备。
4. 将该文件提交给我们的团队进行进一步的调查 – 报告代码。

关于安全问题

该问题涉及到一个特定的功能，该功能允许客户在登录 WHMCS 客户区域时上传图片文件（PNG、JPG、SVG 和 GIF）。该功能使用 PHP MIME 类型检查来确保只能上传这些图片格式。然而，我们发现 MIME 功能的安全措施并不完全可靠。

我们注意到，熟练的黑客可能利用这个功能。他们可以通过执行特定的 URL 来绕过预期的限制，从而上传 PHP 文件。这个漏洞构成了重大的安全风险。

我们想向您保证，Lagom 客户主题从未使用过此功能。作为预防措施，我们已完全从插件文件中移除了这个功能，以消除任何潜在风险。

我们的团队已对所有插件文件进行了彻底的调查，以寻找其他任何漏洞。我们很高兴地报告，没有发现其他重大安全问题。然而，作为我们持续增强产品安全性和完整性的承诺的一部分，我们计划在即将发布的 2.2.4 版本中发布更多的安全改进，该版本计划于 2 月份发布。

您的安全和对我们产品的信任对我们至关重要。我们致力于为您提供最安全、最可靠的体验。如果您有任何问题或疑虑，请随时通过我们的联系表格联系我们的支持团队。

感谢您对此事的关注以及您持续的支持。