|
|
本帖最后由 民审-M 于 2018-10-19 19:05 编辑
[color=rgb(102, 102, 102)]Discuz memcache+ssrf GETSHELL漏洞
[color=rgb(102, 102, 102)]简介:Discuz存在SSRF漏洞,在配置了memcache的情况下,攻击者可以利用ssrf通过memcache中转,向磁盘上写入WEBSHELL恶意代码,从而造成数据库泄漏。任何的外部输入,包括memcache缓存都应该认为不可信,建议在任何从外部输入的数据都进行必要的转义和过滤,可禁用preg_replace /e代码执行。
路径:[color=rgb(102, 102, 102)][backcolor=rgb(249, 249, 250)]/source/function/function_core.php
[color=rgb(102, 102, 102)][backcolor=rgb(249, 249, 250)]
[color=rgb(102, 102, 102)][backcolor=rgb(249, 249, 250)]修复方法:
搜索:- $string = str_replace(array('&', '"', '<', '>'), array('&', '"', '<', '>'), $string);
下行加入:[backcolor=rgb(249, 249, 250)]
|
|
帐号登录
QQ登录
微信登录
发表于 2018-10-19 18:52:05
