PHPCMS一些漏洞修复及解决方案

2019-07-10 浏览:250
PHPCMS一些漏洞修复及解决方案
评论:(0)复制地址

phpsso.php注入漏洞修复


 文件位置:

/api/phpsso.php


解决办法(Line 129):

// 修改之前  
$phpssouid = $arr['uid'];


改为:

// 修改之后  
$phpssouid = intval($arr['uid']);



phpcms/libs/classes/attachment.class.php某处逻辑问题导致getshell修复方案


文件位置:

/phpcms/libs/classes/attachment.class.php


解决办法(Line 144):

// 修改之前  
function download($field, $value,$watermark = '0',$ext = 'gif|jpg|jpeg|bmp|png', $absurl = '', $basehref = '')
{
        global $image_d;
$this->att_db = pc_base::load_model('attachment_model');
$upload_url = pc_base::load_config('system','upload_url');
$this->field = $field;


改为:

// 修改之后  
function download($field, $value,$watermark = '0',$ext = 'gif|jpg|jpeg|bmp|png', $absurl = '', $basehref = '')
{
// 此处增加类型的判断
        if($ext !== 'gif|jpg|jpeg|bmp|png'){
            if(!in_array(strtoupper($ext),array('JPG','GIF','BMP','PNG','JPEG'))) exit('附加扩展名必须为gif、jpg、jpeg、bmp、png');
        }
 
        global $image_d;
$this->att_db = pc_base::load_model('attachment_model');
$upload_url = pc_base::load_config('system','upload_url');
$this->field = $field;


phpcms的/phpcms/modules/poster/poster.php 文件中,未对输入参数$_GET['group']进行严格过滤,导致注入漏洞。


文件位置:

  /phpcms/modules/poster/poster.php


解决办法(Line 221):


// 修改之前
...
if ($_GET['group']) {
    $group = " `".$_GET['group']."`";
    $fields = "*, COUNT(".$_GET['group'].") AS num";
    $order = " `num` DESC";
}
...

改为:

// 修改之后  
...
if ($_GET['group']) {
    $_GET['group'] = preg_replace('#`#', '', $_GET['group']);
    $group = " `".$_GET['group']."`";
    $fields = "*, COUNT(".$_GET['group'].") AS num";
    $order = " `num` DESC";
}
...

 

phpcmsv9.5.9以后版本开始默认使用mysqli支持,在\phpcms\modules\pay\respond.php中,因为代码逻辑不够严谨,导致宽字节注入


文件位置:

  /phpcms/modules/pay/respond.php


解决办法(Line 16):


/ 修改之前
/**
 * return_url get形式响应
 */
 public function respond_get() {
    if ($_GET['code']){
        $payment = $this->get_by_code($_GET['code']);
    if(!$payment) showmessage(L('payment_failed'));
        $cfg = unserialize_config($payment['config']);
...

改为:

// 修改之后
/**
 * return_url get形式响应
 */
 public function respond_get() {
    if ($_GET['code']){
        $payment = $this->get_by_code(mysql_real_escape_string($_GET['code']));
    if(!$payment) showmessage(L('payment_failed'));
        $cfg = unserialize_config($payment['config']);
 
...



评论:(0)复制地址
发布:苗景云 | 分类:IT技术&设计 | Tags:PHPCMS 漏洞

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。