PHPCMS漏洞之前台注入导致任意文件读取
关于phpcms前台注入导致任意文件读取漏洞的修复问题
简介: phpcms的/phpcms/modules/content/down.php 文件中,对输入参数 $_GET['a_k'] 未进行严格过滤,导致SQL注入的发生,黑客 可利用该漏洞读取任意文件。 … 阿里云服务器提示漏洞问题。
解决办法:
1、根据简介中的漏洞提示,找到对应文件down.php的对应位置(第18、89行 附近),添加或替换相应的代码。
补丁代码片段如下:
$a_k = safe_replace($a_k); parse_str($a_k);
修改后的补丁代码片段截图如下:
第一处修改,第18行附近:
第二处修改,第89行附近:
注意:第一处和第二处的补丁代码内容一样。
第三处修改,第120行附近:
补丁代码片段如下:
$fileurl = str_replace(array('<','>'), '',$fileurl); file_down($fileurl, $filename);
注意:经过实际测试,上述两行代码之间尽量不要有其他代码,以免被阿里云检测结果为修复无效。
修改后的补丁代码片段截图如下:
2、然后,将修改好的文件,上传到服务器对应文件位置,直接覆盖;
3、最后,登录阿里云后台,点击验证(截图如下),即可完成漏洞修复。
以上就是关于“phpcms前台注入导致任意文件读取漏洞”漏洞修复的全部内容。
PHP中文网,大量的免费PHPCMS教程,欢迎在线学习!
以上是PHPCMS漏洞之前台注入导致任意文件读取的详细内容。更多信息请关注PHP中文网其他相关文章!
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
AI Hentai Generator
免费生成ai无尽的。
热门文章
热工具
记事本++7.3.1
好用且免费的代码编辑器
SublimeText3汉化版
中文版,非常好用
禅工作室 13.0.1
功能强大的PHP集成开发环境
Dreamweaver CS6
视觉化网页开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
热门话题
20步内越狱任意大模型!更多'奶奶漏洞”全自动发现
Nov 05, 2023 pm 08:13 PM
不到一分钟、不超过20步,任意绕过安全限制,成功越狱大型模型!而且不必知道模型内部细节——只需要两个黑盒模型互动,就能让AI全自动攻陷AI,说出危险内容。听说曾经红极一时的“奶奶漏洞”已经被修复了:如今,面对“侦探漏洞”、“冒险家漏洞”和“作家漏洞”,人工智能应该采取何种应对策略呢?一波猛攻下来,GPT-4也遭不住,直接说出要给供水系统投毒只要……这样那样。关键这只是宾夕法尼亚大学研究团队晒出的一小波漏洞,而用上他们最新开发的算法,AI可以自动生成各种攻击提示。研究人员表示,这种方法相比于现有的
Java中的缓冲区溢出漏洞及其危害
Aug 09, 2023 pm 05:57 PM
Java中的缓冲区溢出漏洞及其危害缓冲区溢出是指当我们向一个缓冲区写入超过其容量的数据时,会导致数据溢出到其他内存区域。这种溢出行为常常被黑客利用,可以导致代码执行异常、系统崩溃等严重后果。本文将介绍Java中的缓冲区溢出漏洞及其危害,同时给出代码示例以帮助读者更好地理解。Java中广泛使用的缓冲区类有ByteBuffer、CharBuffer、ShortB
PHP文件处理技巧:高效读取与写入文件
Sep 06, 2023 am 11:36 AM
PHP文件处理技巧:高效读取与写入文件在Web开发过程中,我们经常需要读取和写入文件,例如配置文件、日志文件、上传文件等。然而,文件操作可能会影响系统的性能和效率。因此,我们需要掌握一些高效的文件处理技巧来提升系统的性能和用户体验。本文将介绍一些PHP中的文件处理技巧,以及针对读取和写入文件的优化方法,并提供相应的代码示例。高效读取文件1.1使用fil
如何在Python中正确读取.py文件?
Apr 03, 2024 pm 04:21 PM
在Python中,读取.py文件有三种方法。第一种方法是使用内置函数open(),如withopen('example.py','r')asf:content=f.read()。第二种方法是使用import语句,如importexample。第三种方法是使用exec()函数,如withopen('example.py','r')asf:code=f.read()exec(code)。
Golang文件读取操作:快速读取大文件的技巧
Jan 19, 2024 am 08:33 AM
Golang文件读取操作:快速读取大文件的技巧,需要具体代码示例在Golang程序设计中,文件读取是一个非常常见的操作。但当需要读取大文件时,通常是一件比较耗费时间和资源的操作。因此,如何快速读取大文件是一个非常值得探讨的话题。本文将介绍如何利用Golang的特性和一些技巧来快速读取大文件,并提供具体的代码示例。利用bufio读取文件在Golang中,文件读
OpenAI DALL-E 3 模型存生成'不当内容”漏洞,一微软员工上报后反遭'封口令”
Feb 04, 2024 pm 02:40 PM
2月2日消息,微软软件工程部门经理ShaneJones最近发现OpenAI旗下的DALL-E3模型存在漏洞,据称可以生成一系列不适宜内容。ShaneJones向公司上报了该漏洞,但却被要求保密。然而,他最终还是决定向外界披露了这个漏洞。▲图源ShaneJones对外披露的报告本站注意到,ShaneJones在去年12月通过独立研究发现OpenAI文字生成图片的DALL-E3模型存在一项漏洞。这个漏洞能够绕过AI护栏(AIGuardrail),导致生成一系列NSFW不当内容。这个发现引起了广泛关注
在PHP中的fread()函数
Sep 07, 2023 pm 11:57 PM
fread()函数从打开的文件中读取数据。fread()函数在文件末尾或者达到指定长度时停止。成功时返回读取的字符串。失败时返回FALSE。语法fread(file_pointer,length)参数file_pointer−使用fopen()创建的文件系统指针资源。必需。length−要读取的最大字节数。必需。返回值如果成功,fread()函数返回读取的字符串。如果失败,返回FALSE。假设我们有一个名为"one.txt"的文件,其中
phpcms怎么跳转到详情页
Jul 27, 2023 pm 05:23 PM
phpcms跳转到详情页方法:1、使用header函数来生成跳转链接;2、循环遍历内容列表;3、获取内容的标题和详情页链接;4、生成跳转链接即可。
