当前位置:首页 > PHP教程 >

phpcms前台注入导致任意文件读取漏洞补丁

发布时间:2019-06-10 11:42:05 作者:佚名 阅读:(20)

/phpcms/modules/content/down.php

(1)位置约17行

parse_str($a_k);

替换为

parse_str($a_k);
$a_k = safe_replace($a_k);

(2)位置约92行

parse_str($a_k);

替换为

parse_str($a_k);
$a_k = safe_replace($a_k);	

(3)位置约120行

$filename = date('Ymd_his').random(3).'.'.$ext;

之后加上

$fileurl = str_replace(array('<','>'), '',$fileurl); if(preg_match('/(php|phtml|php3|php4|jsp|dll|asp|cer|asa|shtml|shtm|aspx|asax|cgi|fcgi|pl)(.|$)/i',$fileurl) || strpos($fileurl,'..')!==FALSE) showmessage(L('url_error')); 


欢迎分享转载→ phpcms前台注入导致任意文件读取漏洞补丁

© 2015-2019 - 吾爱编程网 版权所有 苏ICP备18033726号-1关于我们 - 网站声明 - 联系我们