欢迎光临
我们一直在努力
当前位置:IDC资讯中心 > 网页制作 > Discuz!论坛 > 正文

阿里云提示 Discuz uc.key泄露导致代码注入漏洞 修复方案

2019-01-18 分类:Discuz!论坛 阅读(729) 评论(0)
建站超值云服务器,限时71元/月
  1. /api/uc.php

,

  1. if(!API_UPDATEBADWORDS)

复制代码,

  1. if(!API_UPDATEBADWORDS) {
  2.             return API_RETURN_FORBIDDEN;
  3.         }
  4.         $data = array();
  5.         if(is_array($post)) {
  6.             foreach($post as $k => $v) {        
  7. //开始
  8.       if(substr($v[‘findpattern’], 0, 1) != ‘/’ || substr($v[‘findpattern’], -3) != ‘/is’) {
  9.          $v[‘findpattern’] = ‘/’ . preg_quote($v[‘findpattern’], ‘/’) . ‘/is’;
  10.       }
  11. //结束          
  12.                 $data[‘findpattern’][$k] = $v[‘findpattern’];
  13.                 $data[‘replace’][$k] = $v[‘replacement’];
  14.             }
  15.         }

,

  1. function updateapps

,

  1. function updateapps($get, $post) {
  2.         global $_G;
  3.         if(!API_UPDATEAPPS) {
  4.             return API_RETURN_FORBIDDEN;
  5.         }
  6.                 
  7. //$UC_API = $post[‘UC_API’];
  8. //开始
  9.         $UC_API = ”;
  10.         if($post[‘UC_API’]) {
  11.             $UC_API = str_replace(array(‘\”, ‘”‘, ‘\\’, “\0”, “\n”, “\r”), ”, $post[‘UC_API’]);
  12.             unset($post[‘UC_API’]);
  13.         }
  14. //结束
  15.         $cachefile = DISCUZ_ROOT.’./uc_client/data/cache/apps.php’;

,

  1. $configfile = preg_replace

,

  1. $configfile = preg_replace(“/define\(‘UC_API’,\s*’.*?’\);/i”, “define(‘UC_API’, ‘”.addslashes($UC_API).”‘);”, $configfile);

,很多同学最近反应都收到了,阿里云给出的安全警告!警告标题为: 
Discuz uc.key泄露导致代码注入漏洞

文件位于:
/api/uc.php


下面DZ起点网为大家给出了修复方案!


开始修复之前呢,给大家说一下,如果你是安装的最新版本的discuz x3.2 那么漏洞是已经修复了哦!可以直接忽略阿里云的提示!


首先找到文件:

  1. /api/uc.php


进行备份 ===>>>   修改  ===>>>  上传覆盖

搜索:

  1. if(!API_UPDATEBADWORDS)

复制代码


第一处:修复方案如下

  1. if(!API_UPDATEBADWORDS) {
  2.             return API_RETURN_FORBIDDEN;
  3.         }
  4.         $data = array();
  5.         if(is_array($post)) {
  6.             foreach($post as $k => $v) {        
  7. //开始
  8.       if(substr($v[‘findpattern’], 0, 1) != ‘/’ || substr($v[‘findpattern’], -3) != ‘/is’) {
  9.          $v[‘findpattern’] = ‘/’ . preg_quote($v[‘findpattern’], ‘/’) . ‘/is’;
  10.       }
  11. //结束          
  12.                 $data[‘findpattern’][$k] = $v[‘findpattern’];
  13.                 $data[‘replace’][$k] = $v[‘replacement’];
  14.             }
  15.         }

第二处:修复方案如下

搜索:

  1. function updateapps

修改

  1. function updateapps($get, $post) {
  2.         global $_G;
  3.         if(!API_UPDATEAPPS) {
  4.             return API_RETURN_FORBIDDEN;
  5.         }
  6.                 
  7. //$UC_API = $post[‘UC_API’];
  8. //开始
  9.         $UC_API = ”;
  10.         if($post[‘UC_API’]) {
  11.             $UC_API = str_replace(array(‘\”, ‘”‘, ‘\\’, “\0”, “\n”, “\r”), ”, $post[‘UC_API’]);
  12.             unset($post[‘UC_API’]);
  13.         }
  14. //结束
  15.         $cachefile = DISCUZ_ROOT.’./uc_client/data/cache/apps.php’;

第三处:修复方案如下


搜索:

  1. $configfile = preg_replace

修改为:

  1. $configfile = preg_replace(“/define\(‘UC_API’,\s*’.*?’\);/i”, “define(‘UC_API’, ‘”.addslashes($UC_API).”‘);”, $configfile);

以上就是阿里云提示 Discuz uc.key泄露导致代码注入漏洞 修复方案!

赞(0)
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com 特别注意:本站所有转载文章言论不代表本站观点! 本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。未经允许不得转载:IDC资讯中心 » 阿里云提示 Discuz uc.key泄露导致代码注入漏洞 修复方案
分享到: 更多 (0)
标签:

相关推荐

热门标签

ldquo (1370)win (1324)活动 (1166)ios (1162)rdquo (818)微信 (747)iphone (728)小米 (722)windows (706)手机 (698)酷跑 (686)飞车 (540)天天 (492)qq (491)网站 (457)全民 (442)discuz (408)充值 (389)安装 (368)更新 (321)华为 (300)浏览器 (292)支付宝 (289)三星 (266)note (264)教程 (262)预览版 (261)小编 (258)越狱 (254)linux (248)

热门文章

分类目录