Vveb 1.0.8.2 安全更新总结 漏洞概述 Vveb 1.0.8.2 版本修复了多个安全漏洞,包括远程代码执行、跨站脚本攻击、权限绕过等。 影响范围 所有使用 Vveb 1.0.8.2 及以下版本的用户 涉及功能:编辑器组件渲染、文件上传、PHP 模板处理、购物车操作等 修复方案 1. 修复编辑器组件渲染中的未授权反射型 XSS - 通过编辑器预览绕过机制 - 报告者:@CyberWarrior9 2. 修复 PHP 文件上传伪装成图片的远程代码执行漏洞 - 报告者:@CyberWarrior9 3. 修复 PHP 文件保存中的编辑器权限问题 - 修复认证后的 RCE 漏洞 - 报告者:@CyberWarrior9 4. 修复 PHP 模板中的 DOM 基于跨站脚本 (XSS) 漏洞 - 在订单编辑页面通过结账页面输入触发 - 报告者:Noel Carlo Lopez 5. 修复存储型 XSS 漏洞 - 通过评论作者字段触发 - 报告者:@nchloride 6. 修复负数量购物车操作漏洞 - 允许创建负总数订单 - 报告者:@CyberWarrior9 7. 修复 PHP 弃用错误 - 传递 null 值问题 - 报告者:@CyberWarrior9 8. 修复 PHP 堆栈跟踪信息泄露 - 默认隐藏调试信息 - 报告者:@CyberWarrior9 9. 修复 PHP 模板中的其他安全漏洞 - 包括 loadXML 选项、媒体上传白名单等 - 报告者:@CyberWarrior9 其他改进 启用页面分类和标签功能 限制标题和元描述长度 修复主题安装显示问题 清理前端缓存 更新主题 修复 Psql 问题 修复缓存文件匹配问题 包含组件渲染请求的凭据