请选择 进入手机版 | 继续访问电脑版

QT语音论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 94|回复: 0

阿里云提示Discuz uc.key泄露导致代码注入漏洞uc.php的解决方法

[复制链接]
发表于 2018-4-11 19:33:24 | 显示全部楼层 |阅读模式
适用所有用UC整合
阿里云提示漏洞:
discuz中的/api/uc.php存在代码写入漏洞,导致黑客可写入恶意代码获取uckey,..........

漏洞名称:Discuz uc.key泄露导致代码注入漏洞

补丁文件:/api/uc.php

补丁来源:云盾自研

解决方法:
找到文件/api/uc.php​ 中的以下代码:


  1. $configfile = substr($configfile, -2) == '?>' ? substr($configfile, 0, -2) : $configfile;
复制代码


大概216行,替换成以下:

  1. $configfile = preg_replace("/define\('UC_API',\s*'.*?'\);/i", "define('UC_API', '".addslashes($UC_API)."');", $configfile);
复制代码


更新代码后,在阿里云后台这条漏洞后面点“验证一下”,即可看到这条漏洞补上就没有了





科普一下:PHP addslashes() 函数

在每个双引号(")前添加反斜杠:
php $str = addslashes('Shanghai is the "biggest" city in China.');echo($str); ?>
结果:Shanghai is the \"biggest\" city in China.




上一篇:齐博CMS:新手问题,安装后,首页打不开,始终是安装页面
下一篇:DZ3.4开启https后 uc通信失败 的解决办法

QT语音论坛 ( 鲁ICP备14016835-1号 )

GMT+8, 2018-6-23 08:28

Powered by QT语音论坛

© 2012-2018 QTvcd Inc.

快速回复 返回顶部 返回列表