漏洞編號：PEAS20071120

危害程度：極嚴重

影響版本：動易4.03、2005、2006 所有版本（包括免費版、商業(yè)SQL版及Access版），正式版、SP1、SP2、SP3、SP4、SP5、SP6都受此影響。2007-11-20 13:00以后從官方下載的系統(tǒng)不存在此漏洞。

漏洞描述：因為動易系統(tǒng)的API/ApiResonse.asp及用戶后臺有幾個文件存在著注入漏洞。黑客可以通過偽造的數(shù)據(jù)進行注入攻擊，然后可得到WebShell權(quán)限。

解決方法：（以下兩步必須都要做）
　　第一步、下載官方組件進行更新。如果是虛擬主機用戶，請聯(lián)系主機商進行更新。一臺服務(wù)器只要更新了最新組件，主機上的所有用戶都會受到保護。為了您的網(wǎng)站安全，最好在更新了組件后，重新將所有管理員的密碼、管理認證碼都改一下。如果主機商暫時不能更新組件，可以先刪除網(wǎng)站的User目錄來防止黑客利用此漏洞。
　　第二步、下載此補丁文件，解壓后上傳覆蓋掉原始文件。

組件下載：http://adaci.cn/Soft/PE_soft/3139.html
補丁文件：http://download.powereasy.net/PowerEasy2006/PowerEasy_2006SP6_S20071120.rar

如何檢查是否已經(jīng)安裝了最新組件？

　　包含此漏洞補丁的最新組件版本為1.8.6或以上。如果低于此版本，則意味著有此漏洞。

PS：
　　這將是動易2006版的最后一個安全更新，以后動易2006版就將以開源形式進行運營。這個安全更新是在2007-10-30發(fā)布的安全更新基礎(chǔ)上，我們與國內(nèi)的安全組織BCT一起，對2006版進行初步代碼審計發(fā)現(xiàn)的結(jié)果。未來動易將投入巨資請相關(guān)安全組織對動易的開源版本的代碼進行安全審計，以確保開源版本中盡可能減少存在的漏洞，確保用戶的網(wǎng)站安全不受開源的影響。