以下是关于该安全漏洞的关键信息: 漏洞类型 PHP注入漏洞 受影响产品 korweblog 1.6.2-cvs及之前的版本 漏洞细节 关键问题: 文件 中的 参数没有经过适当的验证就被用来包含文件。 - 影响: 攻击者可以在无需 的情况下注入 PHP 代码。 影响案例 第一种情况 当 中设置 时: - 攻击者可以通过在 参数中添加 注入恶意代码。 - 示例 URL: 第二种情况 当 中设置 时: - 攻击者可以引用任何以 .php 结尾的文件。 - 示例 URL: 第三种情况 当 中设置 时: - 攻击者可以引用远程文件或命令。 - 示例 URL: 解决方案 删除 文件夹中的所有文件。 设置 中的 为 。 临时补丁 修改了 的值由 调整为 。 并在 "lang/$lng"的使用方式上增加了验证,限制只能使用".php"结尾文件。