花魁直播高品质美女在线视频互动社区 - 花魁直播官方版

 歡迎來到素材無憂網(wǎng),按 + 收藏我們
登錄 注冊 退出 找回密碼

Discuz! X3.4 X3.3 UC(/uc_server/data/tmp)上傳執(zhí)行漏洞修復(fù)

時間: 2019-05-24 11:57 閱讀: 作者:素材無憂網(wǎng)


Discuz! X3.4 X3.3 UC(/uc_server/data/tmp)上傳執(zhí)行漏洞修復(fù) (阿里云熱修復(fù)補丁):
介紹:在Discuz中,uc_key是UC客戶端與服務(wù)端通信的通信密鑰,discuz中的/api/uc.php存在代碼寫入漏洞,導(dǎo)致黑客可寫入惡意代碼獲取uckey,最終進入網(wǎng)站后臺,造成數(shù)據(jù)泄漏。

漏洞名稱:
Discuz uc.key泄露導(dǎo)致代碼注入漏洞

站長報告:已有網(wǎng)站中招后/uc_server/data/tmp被上傳shell

補丁效果:目前已排除風(fēng)險。

站長報告漏洞文件路徑:/api/uc.php

手工修復(fù)方案:
編輯:
/api/uc.php
查找:(39行)
require_once '../source/class/class_core.php';
復(fù)制代碼
修改為:
require_once '../source/class/class_core.php'; if (method_exists("C", "app")) { $discuz = C::app(); $discuz->init(); }
復(fù)制代碼


查找:(273行)
function updateapps($get, $post) {
復(fù)制代碼
修改為:
function updateapps($get, $post) { if($post['UC_API']) { $post['UC_API'] = addslashes($post['UC_API']); }
復(fù)制代碼


提示:千萬別信dz應(yīng)用中心的那個誰"無視阿里云,很早很早以前就修復(fù)了",阿里云安騎士專業(yè)版提供的修復(fù)方案,放心使用。

版權(quán)聲明: 本站資源均來自互聯(lián)網(wǎng)或會員發(fā)布,如果侵犯了您的權(quán)益請與我們聯(lián)系,我們將在24小時內(nèi)刪除!謝謝!

轉(zhuǎn)載請注明: Discuz! X3.4 X3.3 UC(/uc_server/data/tmp)上傳執(zhí)行漏洞修復(fù)

標(biāo)簽:  
相關(guān)文章
模板推薦