PHPCMS V9.3.4 正式版发布

近日，由包括知道创宇在内的多个安全公司联合乌云漏洞提交平台 推出的“漏洞奖励计划”里播报了多个PHPCMS v9 SQL注入漏洞。通过SCANV网站安全中心分析，这些漏洞属于"高危"漏洞。目前官方已确定但未出相关补丁。请使用PHPCMS V9广大站长们注意。


本补丁只适用于20130522版本，升级到20130718版本


　版本V9.3.4 功能变更及bug修正说明：


1. 修复漏洞：支付模块过滤不严格导致SQL注入
2. 修正后台登陆过期时间问题
3. 修复遍历上级目录漏洞
4. 防止注入漏洞。
5. 修复：后台管理员密码泄露后，可能存在的SQL注入
6. phpsso后台弱密码，可能导致用户资料被删除
7. 修复plugin 在 register_global=ON 时，存在包含任意文件的漏洞
8. 修复漏洞：cookie被二次利用，导致SQL注入
9. 修复：获取cookie和读取cookie不严格，导致数据库SQL注入
10. 增强后台权限验证
11. 优化验证码功能
12. 优化：防止注册机重复利用验证码注册
13. 优化附件安全

完整版下载地址：
http://download.phpcms.cn/v9/9.3/phpcms_v9.3.4_GBK.zip
http://download.phpcms.cn/v9/9.3/phpcms_v9.3.4_UTF8.zip


升级程序地址(20130522升级20130718):


http://download.phpcms.cn/v9/9.0/patch/gbk/patch_20130522_20130718_GBK.zip
http://download.phpcms.cn/v9/9.0/patch/utf8/patch_20130522_20130718_UTF8.zip
升级方法：
一、后台自动升级
进入管理后台--扩展--在线升级  直接升级即可！
二、下载升级包按顺序手工升级
1、请先对原有文件进行备份。
2、上传upload中的文件到网站根目录，覆盖原有文件。本文转自站帮网 ，如需转载请注明地址:http://www.zhanhelp.com/thread-271880-1-1.html