2018年9月25日，阿里云云盾应急响应中心监测到DESTOON官方近期发布安全更新，披露了一个远程GetShell高危漏洞。

漏洞描述
DESTOON的module/member/avatar.inc.php文件代码逻辑不当，导致会员头像上传功能处可直接上传WebShell。

漏洞评级
严重

影响范围
DESTOON < 7.0

安全建议
使用官方发布的安全补丁：
https://www.destoon.com/product/release/178.html

我们会关注后续进展，请随时关注官方公告。
如有任何问题，可随时通过工单或服务电话95187联系反馈。

阿里云云盾应急响应中心
2018.09.25