位置: IT常识 - 正文

PHPCMS漏洞之前台注入导致任意文件读取(web cms漏洞)

编辑:rootadmin
PHP中文网中有大量免费的PHPCMS教程,欢迎大家来学习。本篇给大家介绍了关于PHPCMS前台注入导致任意文件读取漏洞的修复问题,以便大家解决漏洞问题。

推荐整理分享PHPCMS漏洞之前台注入导致任意文件读取(web cms漏洞),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:semcms漏洞,php网站漏洞,php网站漏洞,phpweb漏洞,web cms漏洞,web cms漏洞,web cms漏洞,php168cms漏洞,内容如对您有帮助,希望把文章链接给更多的朋友!

关于phpcms前台注入导致任意文件读取漏洞的修复问题

简介:phpcms的/phpcms/modules/content/down.php 文件中,对输入参数 $_GET['a_k'] 未进行严格过滤,导致SQL注入的发生,黑客可利用该漏洞读取任意文件。…阿里云服务器提示漏洞问题。

解决办法:

1、根据简介中的漏洞提示,找到对应文件down.php的对应位置(第18、89行 附近),添加或替换相应的代码。

补丁代码片段如下:

$a_k = safe_replace($a_k);parse_str($a_k);

修改后的补丁代码片段截图如下:

第一处修改,第18行附近:

PHPCMS漏洞之前台注入导致任意文件读取(web cms漏洞)

第二处修改,第89行附近:

注意:第一处和第二处的补丁代码内容一样。

第三处修改,第120行附近:

补丁代码片段如下:

$fileurl = str_replace(array('<','>'), '',$fileurl);file_down($fileurl, $filename);

注意:经过实际测试,上述两行代码之间尽量不要有其他代码,以免被阿里云检测结果为修复无效。

修改后的补丁代码片段截图如下:

2、然后,将修改好的文件,上传到服务器对应文件位置,直接覆盖;

3、最后,登录阿里云后台,点击验证(截图如下),即可完成漏洞修复。

PHP中文网,大量的免费PHPCMS教程,欢迎在线学习!

本文链接地址:https://www.jiuchutong.com/zhishi/310156.html 转载请保留说明!

上一篇:PHPCMS 与 MVC 的区别?(phpcms模块)

下一篇:Python测试前置操作的方法(前置测试模型)

  • 职工享受工伤津贴的条件
  • 实收资本的账务处理是怎样的
  • 所得税申报是什么
  • 仓库出入库账本图片大全
  • 完全成本法例子
  • 多交附加税怎么做会计分录
  • 物流运输途中损坏怎么办
  • 增值税发票增量流程网上怎么申请
  • 为什么营收高利润低
  • 企业收到待清算的现金
  • 增值税发票红冲后增值税销项为负数
  • 结转开发产品
  • 购买现金支票的扣费方式
  • 其他应付款注销时怎么冲平
  • 公司变更名称重新申请
  • office已经激活
  • 询证函有法律效力吗
  • 公司聚餐计入什么会计科目
  • php 回调函数
  • 网速变慢的原因有哪些
  • 期末损益类科目结转
  • 长期停工的影响
  • 有形动产增值税税率是多少
  • 电脑椅什么牌子质量好
  • 正常损失非正常损失
  • 固定资产多少可以费用化
  • 预付工程施工款会计分录
  • 加计扣除账务处理
  • php数字转16进制
  • 房地产公司收到预售款缴纳印花税吗
  • 完成认证后开具什么证明
  • uni-app原理
  • 大学毕业后送快递
  • 上个月的发票未上传成功可以删除吗
  • 应交增值税进项税额月底怎么处理
  • 现代服务业加计抵减最新政策2022
  • 为什么计入资本公积
  • 当月确认收入可以下月确认成本吗
  • javascript 模块
  • python合并集合
  • 企业自建办公楼需要开发资质吗
  • 应交税费应交增值税的三级科目有哪些
  • 电子发票开出后如何查看
  • 在建工程转入固定资产怎么做
  • 什么是ad域服务
  • 总公司和子公司可以是一个法人吗
  • 怎么才能不开发票
  • 交城市维护建设税减半征收吗?
  • 多计提的工资怎么调账
  • 安置房买卖过户流程
  • 填写增值税纳税申报怎么填写?
  • 进口料件内销的关税和增值税怎么计算
  • 全资子公司合并报表编制
  • 递延收益为什么属于负债
  • mysql支持的数据类型主要有哪几类
  • win8怎么扩展c盘
  • 微型创新是什么
  • win7系统IE浏览器打开跳转到360浏览器,怎么阻止
  • VMware虚拟机中安装MATE桌面环境
  • u盘装系统系统资料会被泄露吗
  • win7系统对拷的方法
  • win8.1网络不可用怎么办
  • centos屏蔽ip
  • sgbhp.exe - sgbhp是什么进程 有什么用
  • 日历显示不全
  • win7修改系统版本
  • 学会这8个技巧让你做出的菜味道更好
  • VS2013 OpenGL MFC 编程问题
  • android自定义控件入门与实战
  • linux spid
  • Unity3D游戏开发标准教程吴亚峰于复兴人民邮电出版社
  • jquery validate表单内容怎么添加边框
  • margin使用
  • jquery keydown
  • android网络通信http
  • javascript中的getElementById
  • unity相关问题
  • 广州税务举报电话
  • 新疆国税局电子税务局
  • 天津税务陈岩
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设