阿里云提醒:Discuz uc.key泄露导致代码注入漏洞修复

漏洞名称:Discuz uc.key泄露导致代码注入漏洞
文件路径:bbs/api/uc.php

修复方式:
1. 查找 updatebadwords 函数:
function updatebadwords($get, $post){
    // ...
    // 添加: 约241行    
    // Discuz uc.key泄露导致代码注入漏洞 
    if(substr($v['findpattern'], 0, 1) != '/' || substr($v['findpattern'], -3) != '/is') { 
        $v['findpattern'] = '/' . preg_quote($v['findpattern'], '/') . '/is'; 
    }
    // -- end : 2016-08-22 --
    
    $data['findpattern'][$k] = $v['findpattern'];
    // ...
}

2. 查找 updateapps 函数:
function updateapps($get, $post) {
    // ...
    // 修改: 约280行 
    $UC_API = '';
    if($post['UC_API']) {
        // $UC_API = $post['UC_API']; // 注释
        $UC_API = str_replace(array('\'', '"', '\\', "\0", "\n", "\r"), '', $post['UC_API']);
        unset($post['UC_API']);
    }
    // ...
}

握手

雷人

路过

鲜花
该文章已有3人参与评论

请发表评论

全部评论

查看全部评论>>



零度资源网 © 2011-2020   蜀ICP备13025384号-1

      安全联盟认证