阿里云提示后台数据库备份功用缝隙,这个缝隙这个缝隙bug出现在一个DZ X系列自带的备份里边缝隙途径,在注入后,能够长途下载你整个网站数据,损害是一颗炸弹型。

有安全研究人员在GitHub上发布了有关Discuz!多个版别中后台数据库备份功用存在的指令履行缝隙的细节。

解决方法

现在官方关于老版别Discuz不再更新,如需求手动修正此缝隙,较牢靠的做法是将Discuz升级到Discuz3.4或以上版别。

【留意:该补丁为云盾自研代码修正计划,云盾会根据您当时代码是否契合云盾自研的修正形式进行检测,如果您自行采取了底层/结构一致修正、或许使用了其他的修正计划,可能会导致您尽管现已修正了该缝隙,云盾仍然陈述存在缝隙,遇到该状况可选择疏忽该缝隙提示】

【云盾自研代码修正计划】

修正文件:

/source/admincp/admincp_db.php

查找代码:

$tablesstr.='"'.$table.'"';

修正成:

$tablesstr.='"'.addslashes($table).'"';

查找代码:

@unlink($dumpfile);

有两处修正成:

@unlink($dumpfile);$tablesstr=escapeshellarg($tablesstr);


声明:有的资源均来自网络转载,版权归原作者所有,如有侵犯到您的权益 请联系邮箱:123456@qq.com 我们将配合处理!

原文地址:阿里云提示后台数据库备份功能漏洞发布于2022-05-29 07:43:45

相关推荐