花魁直播高品质美女在线视频互动社区 - 花魁直播官方版

 歡迎來到素材無憂網(wǎng),按 + 收藏我們
登錄 注冊 退出 找回密碼

阿里云提示后臺數(shù)據(jù)庫備份功能漏洞

時間: 2020-09-16 10:57 閱讀: 作者:素材無憂網(wǎng)

阿里云提示后臺數(shù)據(jù)庫備份功能漏洞,這個漏洞這個漏洞bug出現(xiàn)在一個DZ X系列自帶的備份里面漏洞路徑,在注入后,可以遠(yuǎn)程下載你整個網(wǎng)站數(shù)據(jù),危害是一顆炸彈型。

有安全研究人員在GitHub上公布了有關(guān)Discuz!多個版本中后臺數(shù)據(jù)庫備份功能存在的命令執(zhí)行漏洞的細(xì)節(jié)。

阿里云提示后臺數(shù)據(jù)庫備份功能漏洞

解決方法

目前官方對于老版本Discuz不再更新,如需要手動修復(fù)此漏洞,較可靠的做法是將Discuz升級到Discuz3.4或以上版本。 

【注意:該補(bǔ)丁為云盾自研代碼修復(fù)方案,云盾會根據(jù)您當(dāng)前代碼是否符合云盾自研的修復(fù)模式進(jìn)行檢測,如果您自行采取了底層/框架統(tǒng)一修復(fù)、或者使用了其他的修復(fù)方案,可能會導(dǎo)致您雖然已經(jīng)修復(fù)了該漏洞,云盾依然報告存在漏洞,遇到該情況可選擇忽略該漏洞提示】

【云盾自研代碼修復(fù)方案】 

修改文件:

/source/admincp/admincp_db.php

搜索代碼:

$tablesstr .= '"'.$table.'" ';

修改成:

$tablesstr.='"'.addslashes($table).'"';

搜索代碼:

@unlink($dumpfile);

有兩處修改成:

@unlink($dumpfile); $tablesstr=escapeshellarg($tablesstr);


版權(quán)聲明: 本站資源均來自互聯(lián)網(wǎng)或會員發(fā)布,如果侵犯了您的權(quán)益請與我們聯(lián)系,我們將在24小時內(nèi)刪除!謝謝!

轉(zhuǎn)載請注明: 阿里云提示后臺數(shù)據(jù)庫備份功能漏洞

標(biāo)簽:  
相關(guān)文章
模板推薦