阿里云提示后臺數(shù)據(jù)庫備份功能漏洞,這個漏洞這個漏洞bug出現(xiàn)在一個DZ X系列自帶的備份里面漏洞路徑,在注入后,可以遠(yuǎn)程下載你整個網(wǎng)站數(shù)據(jù),危害是一顆炸彈型。
有安全研究人員在GitHub上公布了有關(guān)Discuz!多個版本中后臺數(shù)據(jù)庫備份功能存在的命令執(zhí)行漏洞的細(xì)節(jié)。
目前官方對于老版本Discuz不再更新,如需要手動修復(fù)此漏洞,較可靠的做法是將Discuz升級到Discuz3.4或以上版本。
【注意:該補(bǔ)丁為云盾自研代碼修復(fù)方案,云盾會根據(jù)您當(dāng)前代碼是否符合云盾自研的修復(fù)模式進(jìn)行檢測,如果您自行采取了底層/框架統(tǒng)一修復(fù)、或者使用了其他的修復(fù)方案,可能會導(dǎo)致您雖然已經(jīng)修復(fù)了該漏洞,云盾依然報告存在漏洞,遇到該情況可選擇忽略該漏洞提示】
【云盾自研代碼修復(fù)方案】
修改文件:
/source/admincp/admincp_db.php
搜索代碼:
$tablesstr .= '"'.$table.'" ';
修改成:
$tablesstr.='"'.addslashes($table).'"';
搜索代碼:
@unlink($dumpfile);
有兩處修改成:
@unlink($dumpfile); $tablesstr=escapeshellarg($tablesstr);
版權(quán)聲明: 本站資源均來自互聯(lián)網(wǎng)或會員發(fā)布,如果侵犯了您的權(quán)益請與我們聯(lián)系,我們將在24小時內(nèi)刪除!謝謝!
轉(zhuǎn)載請注明: 阿里云提示后臺數(shù)據(jù)庫備份功能漏洞