<noframes id="9rfbv">

    <form id="9rfbv"><nobr id="9rfbv"><progress id="9rfbv"></progress></nobr></form><address id="9rfbv"><address id="9rfbv"><listing id="9rfbv"></listing></address></address>
        <em id="9rfbv"></em>
          <dfn id="9rfbv"><dl id="9rfbv"><cite id="9rfbv"></cite></dl></dfn>
          <address id="9rfbv"></address>

          <address id="9rfbv"></address>

          <address id="9rfbv"></address>

            Discuz! X3.4 X3.3 UC上傳執行漏洞修復

            時間:2019/12/6 17:11:55,點擊:0

            Discuz! X3.4 X3.3 UC(/uc_server/data/tmp)上傳執行漏洞修復 (阿里云熱修復補丁):
            介紹:在Discuz中,uc_key是UC客戶端與服務端通信的通信密鑰,discuz中的/api/uc.php存在代碼寫入漏洞,導致黑客可寫入惡意代碼獲取uckey,最終進入網站后臺,造成數據泄漏。

            漏洞名稱:
            Discuz uc.key泄露導致代碼注入漏洞

            站長報告:已有網站中招后/uc_server/data/tmp被上傳shell

            補丁效果:目前已排除風險。

            站長報告漏洞文件路徑:/api/uc.php

            手工修復方案:
            編輯:
            /api/uc.php
            查找:(39行)
            require_once '../source/class/class_core.php';
            復制代碼
            修改為:
            require_once '../source/class/class_core.php'; if (method_exists("C", "app")) { $discuz = C::app(); $discuz->init(); }
            復制代碼


            查找:(273行)
            function updateapps($get, $post) {
            復制代碼
            修改為:
            function updateapps($get, $post) { if($post['UC_API']) { $post['UC_API'] = addslashes($post['UC_API']); }
            復制代碼


            提示:千萬別信dz應用中心的那個誰"無視阿里云,很早很早以前就修復了",阿里云安騎士專業版提供的修復方案,放心使用。

            打印 | 關閉

            日本字幕有码中文字幕