今日，知道创宇SCANV网站安全中心研究人员发现，齐博CMS官方最新下载版本里的 /do/s_rpc.php代码存在一个sql注射漏洞，经确认该漏洞为一个历史漏洞，官方曾经出过安全补丁（http://bbs.qibosoft.com/read-forum-tid-411258.htm）。我们积极与官方联系后，得到官方确认，表示该问题为开发人员于今日更新程序文件替换错误导致的。目前，官方已经更新程序安装包，下载地址：http://www.qibosoft.com/download.htm 请各位站长，及时确认是否受该漏洞影响（确认方法见下方）,并可以通过SCANV网站安全中心进行网站体检。加速乐用户不受此漏洞影响。

漏洞确认方法：
访问地址：http://www.xx.com/do/s_rpc.php?queryString=%c1' 出现“数据库连接出错”信息（如下图）。则存在漏洞。

修补方法：
下载安装最新版本。下载地址：http://www.qibosoft.com/download.htm

 

在接到知道创宇通知后，齐博CMS官方迅速作出响应，第一时间更新了安装包，并对知道创宇的支持表示感谢。http://bbs.qibosoft.com/read-forum-tid-416126.htm

齐博为用户负责的态度，快速的响应机制非常值得所有厂家学习，知道创宇也期待和更多厂家共同建设更好更安全的互联网。

关于加速乐及知道创宇

“加速乐”(www.jiasule.com)是中国领先的互联网安全提供商知道创宇推出的一款在线免费网站CDN加速、网站安全防护平台。致力于系统化解决网站访问速度过慢及网站反黑客问题。

“知道创宇”(www.knownsec.com)全称为北京知道创宇信息技术有限公司。是国内最早提出网站安全云监测及云防御的高新企业，始终致力于为客户提供基于云技术支撑的下一代Web安全解决方案。知道创宇总部设在北京，在香港、上海、广州、成都设有分公司，客户及合作伙伴来自中国、美国、日本、韩国等。凭借强大的云安全技术与产品的高可用性、易管理性、合规性和业务连续性、以及动态保障关键Web数据资产安全的能力，帮助用户应对变化多端的互联网安全威胁，赢得了企业、政府与公共机构的青睐。知道创宇安全实验室在零日安全威胁与云安全技术方面的研究得到了业内的广泛认同并享有极高知名度。