忘记密码?

一键登录

草根吧源码论坛

Discuz X3.2 uc.key泄露导致代码注入漏洞(/api/uc.php) 漏洞分析及修复补丁(方案)

查看: 1129|回复: 1

Discuz X3.2 uc.key泄露导致代码注入漏洞(/api/uc.php) 漏洞分析及修复补丁(方案)

[复制链接]

1725

主题

2226

热度

695

贡献

民审

Rank: 8Rank: 8

发表于 2016-8-22 09:34:01 | 显示全部楼层 |阅读模式 | 百度  360  谷歌 
分享到:
本帖最后由 民审-M 于 2016-9-29 22:21 编辑

漏洞名称:Discuz uc.key泄露导致代码注入漏洞
漏洞文件:
/api/uc.php
漏洞描述:在Discuz中,uc_key是UC客户端与服务端通信的通信密钥,discuz中的/api/uc.php存在代码写入漏洞,导致黑客可写入恶意代码获取uckey,最终进入网站后台,造成数据泄漏。您也可以登录官方网站更新到最新版本解决。



漏洞查找:编辑/api/uc.php
查找:
  1. if(substr($v['findpattern'], 0, 1) != '/' || substr($v['findpattern'], -3) != '/is') {
  2.                                         $v['findpattern'] = '/' . preg_quote($v['findpattern'], '/') . '/is';
  3.                                 }
复制代码

如果存在以上语句,则证明你存在此漏洞,且不是最新的dz程序:
修复补丁:
草根吧 Discuz X3.2 uc.key泄露导致代码注入漏洞(/api/uc.php) 漏洞分析及修复补丁(方案) 更新时间,官方网站,discuz,服务端,客户端 站长头条 zip fix.zip (3.4 KB, 下载次数: 44)

帖子地址: 

本文来源于草根吧源码论坛 www.caogen8.co,欢迎大家下载。
如果您没有贡献需要充值,可以直接在线充值,点击充值
如果你需要加入本站赞助VIP会员,可以直接在线开通,点击开通
如果找不到您要的资源,请搜索一下,点击搜索
回复

举报

1725

主题

2226

热度

695

贡献

民审

Rank: 8Rank: 8

 楼主| 发表于 2016-10-9 22:54:29 | 显示全部楼层
本帖最后由 民审-M 于 2016-10-9 22:58 编辑

草根吧 Discuz X3.2 uc.key泄露导致代码注入漏洞(/api/uc.php) 漏洞分析及修复补丁(方案) 更新时间,官方网站,discuz,服务端,客户端 站长头条 zip Discuz uc.key泄露导致代码注入漏洞【完整修复】.zip (4.37 KB, 下载次数: 1, 售价: 1 贡献)
本文来源于草根吧源码论坛 www.caogen8.co,欢迎大家下载。
如果您没有贡献需要充值,可以直接在线充值,点击充值
如果你需要加入本站赞助VIP会员,可以直接在线开通,点击开通
如果找不到您要的资源,请搜索一下,点击搜索

发表回复

您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 用百度帐号登录 一键登录:

本版积分规则

收藏帖子 返回列表 搜索
快速回复 返回顶部 返回列表