影响版本：biweb v5.8.5 (官方最新版)

官网： www.biweb.cn

程序说明：BIWEB商务智能网站系统是依托在ArthurXF企业应用级PHP开发框架上的大型网站系统，是由上海网务网络信息有限公司经历了5年不断的在各种大型项目中实践、总结、开发设计出来的一个快速开发、简单易用的面向对象的企业应用级PHP MVC建站系统。现由上海网务公司开源发布，共同促进行业发展。

漏洞页面：wap\detail.php 很多个detail.php 代码都一样

By:随..风.

漏洞代码：

<?php
require_once('config/config.inc.php');
require_once("class/wap.class.php");

.....

if (!empty($_GET['mod'])) {      //未过滤mod  by:随..风.

$strModuleID = strval($_GET['mod']);
 include_once('../'.$strModuleID.'/config/var.inc.php'); // 直接包含 by:随..风.
 $objWebInit->setDBG($arrGPdoDB);
 $objWebInit->db();
 $arrLink[] = 'mod=' . $strModuleID;
}else{

..

?>

当magic_quotes_gpc=Off 截断

修复：加强过滤