【漏洞公告】PHPWind 通讯密钥泄露漏洞

漏洞描述

PHPWind 是一个基于 PHP 和 MySQL 的论坛程序，也是较常用的论坛程序之一。

由于接口加密算法设计不严谨， PHPWind 的接口签名可被暴力猜解。攻击者可利用此漏洞获取网站的 secretkey，进而入侵网站。

受影响范围

PHPWind 9.0 及以上版本

修复方案

• 使用云盾 Web 应用防火墙 服务拦截此漏洞的攻击代码。

• 使用云盾 安骑士专业版 一键修复该漏洞。安骑士通过修改存在漏洞的代码，可以彻底杜绝该漏洞隐患。

• 参考 PHPWind 官方修复方案 修复网站代码。

  注意：为避免数丢失，升级前请做好备份，或为 ECS 建立硬盘快照。