简介
On 28th January 2020, a Security Advisory email was sent to WHMCS users with the subject 2020 年 1 月 28 日,WHMCS 用户收到了一封主题为 2020-01-28 WHMCS 安全警报的邮件。
如果您的 Web 服务器在/vendor 目录下提供文件,那么您需要采取行动来加固您的系统环境。这种情况在诸如 nginx 之类的 Web 服务器环境中最为常见。
如何判断是否受到影响
为了确认您的 Web 服务器是否正在提供位于/vendor 目录下的文件,请尝试访问:
https://www.example.com/path/to/whmcs/vendor/composer/LICENSE
将 https://www.example.com/path/to/whmcs/ 替换为您的 WHMCS 软件安装地址。
您应该会看到一个403禁止访问错误,或者在某些情况下会看到一个404未找到错误。
如果许可证文本被显示或文件下载开始,那么你应该采取措施禁止访问 /vendor 目录。
如何修复漏洞
解决方案取决于你的 Web 服务器环境和各种配置。
如果你不确定自己使用的是哪种服务器环境,通常可以通过以下步骤来确定:
- 登录到您的 WHMCS 管理区域
- 导航到实用工具 > 系统 > PHP 信息
- 向下滚动到 SERVER_SOFTWARE 变量
- 典型值包括 APACHE、nginx 或 Litespeed
一旦确定了环境类型,请按照此文档中该服务器类型的步骤操作:https://docs.whmcs.com/Security_Advisory_2020-01-28#How_to_fix_the_vulnerability
