漏洞現(xiàn)象：黑客可以利用漏洞上傳木馬程序到網(wǎng)站，然后利用木馬進一步取得網(wǎng)站控制權(quán)。

安全等級：嚴重

受影響版本：動力/動易所有版本

漏洞分析：
因上傳文件在設(shè)計上存在著一處考慮不周的情況，使用黑客可以通過自己構(gòu)造上傳文件表單進行提交上傳數(shù)據(jù)，然后上傳擴展名為.cer的文件（此文件也是通過asp.dll）來解析。

解決方法：
1、檢查網(wǎng)站目錄中是否存在擴展名為.cer和.cdx的文件，若有，立即刪除。
2、在網(wǎng)站屬性中刪除全部映射,只留下.asp和.asa兩個映射。特別要刪除.cer的映射（可選）。
3、修改UpFile_Article.asp、Upfile_Dialog.asp、UpFile_Photo.asp、UpFile_Soft.asp、Upfile_AdPic.asp、UpFile_SoftPic.asp這幾個有關(guān)上傳的文件，找到如下這行：
動易用戶：
for each FormName in objUpload.file '列出所有上傳了的文件
動力用戶：
for each formName in upload.file '列出所有上傳了的文件
在這一行下加上如下這一行代碼：
EnableUpload=False
即可?；蛘呦螺d我們提供的補丁，覆蓋原文件。
4、最好檢查一下網(wǎng)站中的所有文件。如果是自己的服務(wù)器，請再檢查是否已經(jīng)上傳了其他木馬程序。

補丁下載：
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
動易用戶： http://sweetblues.cn/download/patch4x.rar 動力用戶： http://sweetblues.cn/download/patch3x.rar
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝