漏动来源:阿里云云盾 漏动名称:Didcuz memcache+ssrf GETSHELL漏洞 漏动描述:Discuz存在SSRF漏洞,在配置了memcache的情况下,攻击者可以利用ssrf通过memcache中转,向磁盘上写入WEBSHELL恶意代码,从而造成数据库泄漏; 漏动文件:/source/function/function_core.php 修复方法: 查找代码: $content = preg_replace($_G['setting']['output']['preg']['search'], $_G['setting']['output']['preg']['replace'], $content); 在其中上面一行添加代码: if (preg_match("(/|#|\+|%).*(/|#|\+|%)e", $_G['setting']['output']['preg']['search']) !== FALSE) { die("request error"); } 注意事项:如果是utf-8编码的话,该文件也是utf-8编码的,要注意用编辑器编辑保存的时候不要带bom,否则前台页面中可能出现多余空行或无法使用的情况。 |
GMT+8, 2024-5-20 19:51 , Processed in 0.056273 second(s), 10 queries , Xcache On.
Powered by Discuz! X3.2
© 2001-2013 Comsenz Inc.