阿里云提醒:Discuz uc.key泄露導致代碼注入漏洞修復

漏洞名稱:Discuz uc.key泄露導致代碼注入漏洞
文件路徑:bbs/api/uc.php

修復方式:
1. 查找 updatebadwords 函數:
function updatebadwords($get, $post){
    // ...
    // 添加: 約241行    
    // Discuz uc.key泄露導致代碼注入漏洞 
    if(substr($v['findpattern'], 0, 1) != '/' || substr($v['findpattern'], -3) != '/is') { 
        $v['findpattern'] = '/' . preg_quote($v['findpattern'], '/') . '/is'; 
    }
    // -- end : 2016-08-22 --
    
    $data['findpattern'][$k] = $v['findpattern'];
    // ...
}

2. 查找 updateapps 函數:
function updateapps($get, $post) {
    // ...
    // 修改: 約280行 
    $UC_API = '';
    if($post['UC_API']) {
        // $UC_API = $post['UC_API']; // 注釋
        $UC_API = str_replace(array('\'', '"', '\\', "\0", "\n", "\r"), '', $post['UC_API']);
        unset($post['UC_API']);
    }
    // ...
}

路過

雷人

握手

鮮花
該文章已有3人參與評論

請發表評論

全部評論

查看全部評論>>

零度資源 © 2011-2018   蜀ICP備13025384號

      安全聯盟認證      
内蒙古时时开奖结果