PHP开发 on 办公AI智能小助手 https://blog.qife122.com/tags/php%E5%BC%80%E5%8F%91/ Recent content in PHP开发 on 办公AI智能小助手 Hugo zh-cn qife Thu, 01 Jan 2026 11:17:24 +0800 PKP-WAL LESS代码注入漏洞深度解析:通过X-Forwarded-Host头实现SSRF与文件读取 https://blog.qife122.com/p/pkp-wal-less%E4%BB%A3%E7%A0%81%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90%E9%80%9A%E8%BF%87x-forwarded-host%E5%A4%B4%E5%AE%9E%E7%8E%B0ssrf%E4%B8%8E%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96/ Thu, 01 Jan 2026 11:17:24 +0800 https://blog.qife122.com/p/pkp-wal-less%E4%BB%A3%E7%A0%81%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90%E9%80%9A%E8%BF%87x-forwarded-host%E5%A4%B4%E5%AE%9E%E7%8E%B0ssrf%E4%B8%8E%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96/ <h3 id="漏洞概要">漏洞概要</h3> <p>PKP Web应用库(PKP-WAL)版本3.4.0-10及更早版本,以及版本3.5.0-3及更早版本中存在一个LESS代码注入漏洞。该漏洞位于<code>PKPTemplateManager::compileLess()</code>方法中,可能影响基于PKP-Lib构建的Open Journal Systems (OJS)、Open Monograph Press (OMP)和Open Preprint Systems (OPS)等学术出版系统。</p>