linda

尊敬的用户：

您好，接北京市公安局网安总队通知，北京9月份将举办重要峰会论坛活动，各云服务商须严格保证网络安全，清理修复网站漏洞，避免云租户和云服务商的网络资源被不法分子利用。

为了彻底清除隐患，根据市局网安的指示，京东云积极展开云租户网站漏洞修复工作，为网站存在漏洞的用户邮件推送漏洞详情和解决建议，如部分用户不具备修复网站漏洞的技术能力，请安装市局网安推荐的免费版web防护系统进行防护：

网防G01-网站卫士版：http://www.weishi110.cn/static/index.html
安装和使用说明文档：http://help.weishi110.cn/

注意：
（1）网防G01安装完成后，默认是没有启用web防护的，请务必按照说明文档开启web防护。
（2）若您的网站是以京东云负载均衡作为前端，建议您启用京东云应用安全网关功能，实现VPC-WAF防护。参考链接：https://www.jdcloud.com/help/detail/2335/isCatalog/1

按照相关要求，接到通知的用户需要于2018-8-22日之前修复完毕，若逾期未修复，可能会导致云主机被关停，控制台无法启动，需提交工单解封，在恢复控制台操作权限后应立即修复漏洞。若定期巡检发现网站漏洞持续存在，将会再次触发关停云主机并锁定控制台策略。

漏洞详情和修复建议我们将按漏洞URL逐条发送，请您务必完整查阅您的邮箱内的邮件，注意查看我们的通知是否被列为垃圾邮件，务必实现全部修复或防护。

为了您的网站安全和维护整个互联网的安全稳定，修复漏洞的工作需要您的积极配合，感谢您的理解和支持。

附：北京市公安局网安通报漏洞对照表

京东云团队
2018-08-18 10:48:06

原文：https://www.jdcloud.com/notice/detail/243/type/4/includeType/0

[ 本帖最后由 linda 于 2018-8-20 10:50 编辑 ]

linda

漏洞名称
跨站脚本攻击漏洞
PHP错误回显开启
Flash配置不当漏洞
存在TomcatManager
存在TomcatHostManager
JetBrainsIDEworkspace.xml文件泄露
git信息泄露
ASP.NETPaddingOracle
MS15-034HTTP.sys远程代码执行
Tomcat示例文件未删除
Tomcat示例文件未删除
发现SVN版本控制信息文件
.ht。access文件可读
Ecshop会员中心XSS漏洞
EcshopversionXSS漏洞
发现PHPINFO信息泄露漏洞
PHP开启了allow_url_fopen
PHP的open_basedir没有设置
PHP开启了allow_url_include
发现SVN版本控制信息文件
CauchoResinviewfile远程文件读取
Resin示例文件未删除
Resin服务任意文件读取漏洞
发现弱口令
Doyotemplate.phptemplate文件包含漏洞
SQL注入漏洞（盲注）
Swfupload.swf跨站脚本攻击漏洞
PHPmyadmin2.11.3+2.11.4认证登录绕过漏洞
DiscuzhandlekeyXSS漏洞
Discuz!7xshowmessageXSS漏洞
Dedecmsmysql_error信息泄露漏洞
天生创想cookie欺骗漏洞
发现SVN版本控制信息文件
Elasticsearch未授权访问
PHP选项magic_quotes_gpc为关闭状态
Redmine系统越权漏洞
PHP开启了register_globals选项
跨站脚本攻击漏洞
ECShopGBK版本宽字符SQL注入漏洞
Ecshoppages.lbi.phpXss漏洞
ecshop支付宝插件sql注入漏洞
bugfreebackupdownload漏洞
SQL注入漏洞
Dedecmswap跨站漏洞
PHPCMS管理员帐号暴力破解漏洞
Django框架信息泄露漏洞
DedeCMSDialog目录下配置文件XSS漏洞
DedeCMS样式分享XSS漏洞
Dedecmsrecommend.phptitleXSS漏洞
Apachesolr敏感信息泄漏
Ecshop文章分类处XSS漏洞
Shopex安装目录敏感信息
LNMP一键安装环境信息泄露漏洞
黄页模板多处XSS跨站漏洞
HishopShoppingHandler.aspxoptionsSQL注入漏洞
Hishop添加管理员漏洞
HishopBrand.aspxsortOrderBySQL注入漏洞
ecshop本地文件包含漏洞
黄页模板xss漏洞集
黄页模板xss漏洞2
DedeCMS最新SQL注入漏洞
ShopEx系统重装漏洞