找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 125|回复: 0

[cms教程] 阿里云提示 Discuz uc.key泄露导致代码注入漏洞 修复方案

[复制链接]

该用户从未签到

发表于 2019-4-5 14:47:00 | 显示全部楼层 |阅读模式

您需要 登录 才可以下载或查看,没有账号?立即注册

×
阿里云提示 Discuz uc.key泄露导致代码注入漏洞 修复方案
            
            很多同学最近反应都收到了,阿里云给出的安全警告!警告标题为:
[color=,Discuz uc.key泄露导致代码注入漏洞
文件位于:
[color=#333333,/api/uc.php
下面DZ起点网为大家给出了修复方案!
开始修复之前呢,给大家说一下,如果你是安装的最新版本的discuz x3.2 那么漏洞是已经修复了哦!可以直接忽略阿里云的提示!
首先找到文件:
       
               
                       
                                /api/uc.php
                [/ol,
       
进行备份 ===>>>   修改  ===>>>  上传覆盖
搜索:
       
               
                       
                                if(!API_UPDATEBADWORDS)
                [/ol,
       
        复制代码
第一处:修复方案如下
       
               
                       
                                if(!API_UPDATEBADWORDS) {
                       
                                            return API_RETURN_FORBIDDEN;
                       
                                        }
                       
                                        $data = array();
                       
                                        if(is_array($post)) {
                       
                                            foreach($post as $k => $v) {        
                       
                                //开始
                       
                                      if(substr($v['findpattern',, 0] 1) != '/' || substr($v['findpattern',, -3) != '/is') {
                       
                                         $v['findpattern', = '/' . preg_quote($v['findpattern',, '/') . '/is';
                       
                                      }
                       
                                //结束         
                       
                                                $data['findpattern',[$k, = $v['findpattern',;
                       
                                                $data['replace',[$k, = $v['replacement',;
                       
                                            }
                       
                                        }
                [/ol,
       
第二处:修复方案如下
搜索:
       
               
                       
                                function updateapps
                [/ol,
       
修改
       
               
                       
                                function updateapps($get, $post) {
                       
                                        global $_G;
                       
                                        if(!API_UPDATEAPPS) {
                       
                                            return API_RETURN_FORBIDDEN;
                       
                                        }
                       
                                                
                       
                                //$UC_API = $post['UC_API',;
                       
                                //开始
                       
                                        $UC_API = '';
                       
                                        if($post['UC_API',) {
                       
                                            $UC_API = str_replace(array('\'', '"', '\\', "\0", "\n", "\r")] '', $post['UC_API',);
                       
                                            unset($post['UC_API',);
                       
                                        }
                       
                                //结束
                       
                                        $cachefile = DISCUZ_ROOT.'./uc_client/data/cache/apps.php';
                [/ol,
       
第三处:修复方案如下
搜索:
       
               
                       
                                $configfile = preg_replace
                [/ol,
       
修改为:
       
               
                       
                                $configfile = preg_replace("/define\('UC_API',\s*'.*?'\);/i", "define('UC_API', '".addslashes($UC_API)."');", $configfile);
                [/ol,
       
以上就是阿里云提示 Discuz uc.key泄露导致代码注入漏洞 修复方案!
回复

使用道具 举报

网站地图|页面地图|文字地图|Archiver|手机版|小黑屋|找资源 |网站地图

GMT+8, 2024-11-29 12:32

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表