PHPCMS V9.3.4 正式版发布

近日，由包括知道创宇在内的多个安全公司联合乌云漏洞提交平台 推出的“漏洞奖励计划”里播报了多个PHPCMS v9 SQL注入漏洞。通过SCANV网站安全中心分析，这些漏洞属于"高危"漏洞。目前官方已确定但未出相关补丁。请使用PHPCMS V9广大站长们注意。

本补丁只适用于20130522版本，升级到20130718版本

　版本V9.3.4 功能变更及bug修正说明：

1. 修复漏洞：支付模块过滤不严格导致SQL注入

2. 修正后台登陆过期时间问题

3. 修复遍历上级目录漏洞

4. 防止注入漏洞。

5. 修复：后台管理员密码泄露后，可能存在的SQL注入

6. phpsso后台弱密码，可能导致用户资料被删除

7. 修复plugin 在 register_global=ON 时，存在包含任意文件的漏洞

8. 修复漏洞：cookie被二次利用，导致SQL注入

9. 修复：获取cookie和读取cookie不严格，导致数据库SQL注入

10. 增强后台权限验证

11. 优化验证码功能

12. 优化：防止注册机重复利用验证码注册

13. 优化附件安全

完整版下载地址：
http://download.phpcms.cn/v9/9.3/phpcms_v9.3.4_GBK.zip http://download.phpcms.cn/v9/9.3/phpcms_v9.3.4_UTF8.zip
升级程序地址(20130522升级20130718):
http://download.phpcms.cn/v9/9.0/patch/gbk/patch_20130522_20130718_GBK.zip http://download.phpcms.cn/v9/9.0/patch/utf8/patch_20130522_20130718_UTF8.zip
升级方法：

一、后台自动升级

进入管理后台--扩展--在线升级 直接升级即可！

二、下载升级包按顺序手工升级

1、请先对原有文件进行备份。

2、上传upload中的文件到网站根目录，覆盖原有文件。本文转自站帮网 ，如需转载请注明地址:http://www.zhanhelp.com/thread-271880-1-1.html