骑士CMS assign_resume_tpl远程代码执行漏洞

今天服务器上面提示有漏洞预警提示：骑士CMS assign_resume_tpl远程代码执行漏洞，接下来为大家介绍一下骑士CMS assign_resume_tpl远程代码执行漏洞修复方法，有需要的小伙伴可以参考一下：

1、漏洞描述：

    骑士CMS是一套基于PHP+MySQL的免费网站管理系统。骑士CMS官方发布安全更新，修复了一处远程代码执行漏洞。由于骑士CMS某些函数存在过滤不严格，攻击者通过构造恶意请求，配合文件包含漏洞可在无需登录的情况下执行任意代码，控制服务器。

2、漏洞风险：

    攻击者通过构造恶意请求，配合文件包含漏洞可在无需登录的情况下执行任意代码

3、影响版本：

骑士CMS < 6.0.48

4、安全版本：

骑士CMS 6.0.48

5、修复建议：

    （1）、升级骑士CMS至最新版本。

    （2）、由于二次开发过或其他原因无法直接升级的站点，建议参考6手动升级具体步骤修改文件进行升级。

6、手动升级：

    （1）、修改/Application/Common/Controller/BaseController.class.php文件，位置是169行assign_resume_tpl方法中添加判断

    （2）、修改/ThinkPHP/Library/Think/View.class.php 文件106行fetch方法

将110行
if(!is_file($templateFile)) E(L('_TEMPLATE_NOT_EXIST_').':'.$templateFile);
代码注释替换为
if(!is_file($templateFile)) E(L('_TEMPLATE_NOT_EXIST_'));