转自官方：http://cms.5u.hk/html/53/

=====================================================

漏洞报告：http://www.wooyun.org/bugs/wooyun-2010-01515
漏洞描述：未对是否登录进行判断[重要]、未过滤 ecid 和 cid
防范措施：
打开 admin/ajax.asp 
找到 Dim ID,Key,Rs,i 在这行上面加入代码 Call ChkLogin("login")
找到 set rs=db("select [modeext] from [{pre}channel] where id=" & ecid,1) 更改为 set rs=db("select [modeext] from [{pre}channel] where id=" & clng(ecid),1)
找到 set es=db("select [modeindex] from [{pre}content] where id=" & eid,1) 更改为 set es=db("select [modeindex] from [{pre}content] where id=" & clng(eid),1)

邱嵩松注：阅读过5ucms漏洞防范一文的朋友，一般无事。但还是请尽快打上补丁。

漏洞报告：http://www.wooyun.org/bugs/wooyun-2010-01513
漏洞描述：HTTP_REFERER 伪造利用
防范措施：
打开 in/function.asp
找到 if len(Msgstr) > 0 then response.write "<Script>alert('" & Msgstr & "');</Script>" 在这行代码下面加入 response.end

邱嵩松注：这个得立刻就打，容易被利用。

漏洞报告（不成立）：http://www.wooyun.org/bugs/wooyun-2010-01543
漏洞描述（不成立）：因对 ID 已有过滤，此漏洞不成立，大家可放心
安全建议：
打开 plus/count/js.asp
找到 Call DB("Update [{pre}Content] Set [Views]=[Views]+1 Where [ID]=" & ID,0) 更改为 Call DB("Update [{pre}Content] Set [Views]=[Views]+1 Where [ID]=" & clng(ID),0)

请使用 5uCMS 的朋友根据上面的操作方法更新自己的网站程序，补丁程序将于 3-11 号制作并发布

在这里要感谢 Captain 以及 笑花主人 第一时间通知我。同时还要感谢发现以上漏洞的各位朋友。

==========================================

喜欢5U的朋友欢迎加入仿站QQ群：http://www.fyxiaonei.com/about.html

有业务或想学习仿站请直接Q 3876307（笑花主人），真名邱嵩松

官方版本已出：http://cms.5u.hk/svc/fix20110306.rar

邱嵩松注：这个得立刻就打，容易被利用。