Discuz! X3.4 X3.3 UC(/uc_server/data/tmp)上傳執行漏洞修復 (阿里云熱修復補丁)

更新時間:2018-05-18 10:22:50?點擊:65251 ? 網站優化

Discuz! X3.4 X3.3 UC(/uc_server/data/tmp)上傳執行漏洞修復 (阿里云熱修復補丁):

介紹:在Discuz中,uc_key是UC客戶端與服務端通信的通信密鑰,discuz中的/api/uc.php存在代碼寫入漏洞,導致黑客可寫入惡意代碼獲取uckey,最終進入網站后臺,造成數據泄漏。


漏洞名稱:

Discuz uc.key泄露導致代碼注入漏洞


站長報告:已有網站中招后/uc_server/data/tmp被上傳shell


使用草根吧補丁效果:目前已排除風險。


站長報告漏洞文件路徑:/api/uc.php


手工修復方案:
編輯:
/api/uc.php
查找:(39行)
  1. require_once '../source/class/class_core.php';
復制代碼
修改為:
  1. require_once '../source/class/class_core.php'; if (method_exists("C", "app")) { $discuz = C::app(); $discuz->init(); }
復制代碼



查找:(273行)
  1. function updateapps($get, $post) {
復制代碼
修改為:

  1. function updateapps($get, $post) { if($post['UC_API']) { $post['UC_API'] = addslashes($post['UC_API']); }
復制代碼



提示:千萬別信dz應用中心的那個誰"無視阿里云,很早很早以前就修復了",阿里云安騎士專業版提供的修復方案,放心使用。



懶人補丁包
彩店宝彩票中奖了 安徽快三和值奖金 美林配资 吉林十一选五必出 辽宁35走势图 期货配资平台还约金多多青睐 百变王牌和值走势重庆 体育彩票怎么买 上市公司股票代码查询 江西十一选五开奖走势 湖南快乐十分动物遗漏