L'injection frontale de vulnérabilité PHPCMS conduit à une lecture arbitraire de fichiers-PHPCMS-php.cn

L'injection frontale de vulnérabilité PHPCMS conduit à une lecture arbitraire de fichiers

爱喝马黛茶的安东尼

Libérer： 2019-11-21 10:06:42

avant

4266 Les gens l'ont consulté

À propos du problème de réparation de la vulnérabilité de lecture de fichiers arbitraire causée par l'injection frontale de phpcms

简介：
phpcms的/phpcms/modules/content/down.php 文件中，对输入参数 $_GET[&#39;a_k&#39;] 未进行严格过滤，导致SQL注入的发生，黑客
可利用该漏洞读取任意文件。
…
阿里云服务器提示漏洞问题。

Copier après la connexion

Solution :

1. Selon l'invite de vulnérabilité dans l'introduction, recherchez l'emplacement correspondant du fichier down.php correspondant (près des lignes 18 et 89), et ajoutez ou remplacez le code correspondant.

L'extrait de code du patch est le suivant :

$a_k = safe_replace($a_k);
parse_str($a_k);

Copier après la connexion

L'extrait de code du patch modifié est le suivant :

La première modification, près de la ligne 18 :

Linjection frontale de vulnérabilité PHPCMS conduit à une lecture arbitraire de fichiers

La deuxième modification, près de la ligne 89 :

Linjection frontale de vulnérabilité PHPCMS conduit à une lecture arbitraire de fichiers

Remarque : le contenu du premier et du deuxième code de patch est le même.

La troisième modification, près de la ligne 120 :

L'extrait de code du patch est le suivant :

$fileurl = str_replace(array(&#39;<&#39;,&#39;>&#39;), &#39;&#39;,$fileurl); 
file_down($fileurl, $filename);

Copier après la connexion

Remarque : après des tests réels, autant que possible entre le au-dessus de deux lignes de code Il ne devrait y avoir aucun autre code pour éviter d'être détecté par Alibaba Cloud et le résultat de la réparation sera invalide.

La capture d'écran de l'extrait de code du correctif modifié est la suivante :

Linjection frontale de vulnérabilité PHPCMS conduit à une lecture arbitraire de fichiers

2. Ensuite, téléchargez le fichier modifié à l'emplacement de fichier correspondant du serveur et. écrasez-le directement ;

3. Enfin, connectez-vous au backend d'Alibaba Cloud et cliquez sur Vérifier (capture d'écran ci-dessous) pour terminer la réparation de la vulnérabilité.

Linjection frontale de vulnérabilité PHPCMS conduit à une lecture arbitraire de fichiers

Ce qui précède concerne la réparation de la vulnérabilité « injection frontale phpcms conduisant à une vulnérabilité de lecture de fichier arbitraire ».

Site Web PHP chinois, un grand nombre de Tutoriels PHPCMS gratuits, bienvenue pour apprendre en ligne !

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!