【已记录】Windows宝塔的防跨站功能存在严重安全漏洞

最新版本8.5.2的宝塔的防跨站功能存在严重安全漏洞，当启用【防跨站攻击】功能后，宝塔自动生成的.user.ini的用户权限不当，导致黑客可通过上传的shell脚本将该文件进行重命名，删除，修改等一切操作，从而轻松达到提权的效果，这样该功能的安全性就完全形同虚设，另外也存在潜在的用户自己不小心通过ftp删除该文件的可能从而导致安全隐患，综上，建议将.user.ini的文件在创建后自动设置为只保留administrators和system的相应权限，删除其它所有用户如IIS_IUSERS等的权限，并且同时将该文件设置为只读，以确保安全

感谢您的反馈，已记录这个问题