Z-Blog存在高危0day漏洞

Z-blog 漏洞预警

简介:

该程序最早于2005年推出，经历多次版本升级，其拥有强大的功能，特性包括：

1.支持主题、插件等功能和配置，打造个性化博客；

2.zblogasp版本支持Access+MYSQL双数据库，可实现静态化、伪静态、动态页面；

3.zblogphp版本[1] 支持支持MySQL(MariaDB)和SQLite双数据库，可实现伪静态、动态页面；

4.广泛支持IE（最新版后台不支持IE6）、Chrome、Firefox、Opera、Safari多种浏览器；Z-Blog默认模板1

4.拥有移动版博客，支持智能手机管理以及离线写作软件

发现者
安全周@上海匡创-Tom

漏洞编号：CVE-2018-8893

脆弱性的影响
验证机制问题导致csrf+php拼接语句造成服务器重大影响

最大安全评级
高

受影响的版本
Z-BlogPHP 1.5.1 Zero 及以下

问题描述
当执行plugin_edit.php文件会在zb_users\plugin\下生成ID目录和main.php文件，main可以通过PHP语法拼接造成写入一句话，然后通过csrf二次利用可直接Getshell

解决办法
请在plugin_edit.php文件中增加验证：

增加Referer验证或者增加一次性token，验证输入内容的时候完善正则表达式防止绕过验证机制