2024年5月22日,网上更新披露了一个lylme_spage代码执行漏洞(CVE-2024-34982),LyLme Spage(六零导航页)是中国六零(LyLme)开源的一个导航页面。致力于简洁高效无广告的上网导航和搜索入口,支持后台添加链接、自定义搜索引擎,请各位用户尽快安装漏洞补丁。
漏洞风险:六零导航页fle.php接口处任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
风险等级:高风险。
影响范围:
LyLme Spage < 1.9.5
修复建议:
目前官方已有可更新版本,建议受影响用户升级至最新版本
进行安全更新方法:
https://github.com/LyLme/lylme_spage/releases/tag/v1.9.5
