Headline
CVE-2020-24771: NexusPHP v1.6.0-beta2 – NexusPHP
Incorrect access control in NexusPHP 1.5.beta5.20120707 allows unauthorized attackers to access published content.
变更日志如下:
- 新增 resources 目录。
- 新增游客访问设置,可设定展示静态页、展示自宝义内容或重定向到指定链接。
- 新增秘密登录设置,可设定密钥有效期。
- 合并或修复来自 burpheart/NexusPHP_safe 及 CVE 网站上列出的一些安全隐患。
- 修复邮件乱码。
resources 目录用于存放一些资源文件,如模版。
游客访问,支持以下 4 种配置:
- 正常。也即默认的正常访问。
- 展示静态页面。展示存放于 resources/static-pages/ 目录下的静态页面。
- 展示自定义内容。通过富文本编辑要展示给游客的内容。
- 重定向到指定 URL。进行重定向操作。
秘密登录,启用后需要通过 URL 传递密钥参数才可登录。这里参数名为 secret。
文章导航