首页 网络技术
  1. 正文

phpcms修复添加专题中的中风险GETSHELL

风险等级:需要后台登录权限,中风险

影响版本:全版本影响,包括第三方版本

漏洞涉及文件:/phpcms/modules/special/special.php

漏洞成因:ADD和EDIT都没有对数据进行安全过滤,造成漏洞

修复方法:/phpcms/modules/special/special.php 477行左右找到

private function check

在其下方添加一行:

$data =  new_html_special_chars(remove_xss($data));

/phpcms/libs/functions/global.func.php

找到function template 模板函数,在其下面增加:

if(strpos($template, '..') !== false){
	showmessage('模板文件非法');
}

有问题及时反馈,至于重现方法不多说,影响版本太广,想研究的自行百度吧

PS:安全建议:对生成静态的目录去掉PHP脚本执行权限

本文标题:phpcms修复添加专题中的中风险GETSHELL
本文链接:http://www.qqooo.cn/post/2121.html
版权说明:网站文章均来源于手工整理和网友投稿,若有不妥之处请来信 feelym@88.com 处理,谢谢!