-
2018年8月27号,有安全研究人员在GitHub上公布了有关Discuz!多个版本中后台数据库备份功能存在的命令执行漏洞的细节。
解决方案:
目前官方对于老版本Discuz不再更新,如需要手动修复此漏洞,较可靠的做法是将Discuz升级到Discuz3.4或以上版本。
【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】
【云盾自研代码修复方案】
修改文件:/source/admincp/admincp_db.php
搜索代码:$tablesstr .= '"'.$table.'" '; 修改成:$tablesstr.='"'.addslashes($table).'"';
搜索代码:@unlink($dumpfile); 修改成:@unlink($dumpfile); $tablesstr=escapeshellarg($tablesstr);
本文来源:廖维林博客,转载请保留出处和链接!
Discuz!X3.2 3.3 3.4 后台数据库备份功能命令执行漏洞详细修复教程
3613人参与 |分类: 技术文章|时间: 2018年11月12日
相关文章阅读更多:技术文章
- 2020-10-20怎样更换yum源为阿里云yum源
- 2020-10-20分享一个能用的apache做泛目录反向代理的方法(亲测小旋风泛目录程序有效)
- 2020-10-12postfix端口修改linux下发送email的smtp端口unbuntu
- 2020-10-09织梦dedecms调用标题包含关键字的相关文章 增加文章页面相关性方法
- 2020-10-06fancybox图片灯箱功能解决不符合移动落地页体验规范
- 2020-09-26百度搜索URL地址中的参数是什么意思 具体解析(新增移动端)
- 2020-09-26优化后的360好搜批量自动推送JS代码分享
- 2020-09-24宝塔用nginx做反向代理后,访问php文件全部变成下载而非打开php页面(解决办法分享)
- 2020-08-11帝国cms列表页面先显示推荐、头条、置顶的信息灵动标签
- 2020-07-25帝国cms7.5修改实现TAG标签以TAGID的方式伪静态(亲测有效)
发表评论