(1)、phpcms的/phpcms/libs/classes/attachment.class.php中,对输入参数$ext未进行类型限制,导致逻辑漏洞的产生。
解决方法:修改/phpcms/libs/classes/attachment.class.php文件143行左右的download方法,在方法开始位置加入:
function download($field, $value,$watermark = '0',$ext = 'gif|jpg|jpeg|bmp|png', $absurl = '', $basehref = '')
{
$extarr = explode('|',strtolower($ext));
$allow_extarr = array('gif','jpg','jpeg','bmp','png');
foreach ($extarr as $theext) {
if(!in_array(strtolower($theext),$allow_extarr)){
exit('the file ext is not allowed');
exit(0);
}
}
global $image_d;
......
(2)、PHPCMS V9 phpcms/modules/poster/poster.php phpcms注入漏洞
文件路径:/phpcms/modules/poster/poster.php
漏洞描述:
phpcms的/phpcms/modules/poster/poster.php 文件中,未对输入参数$_GET['group']进行严格过滤。导致注入漏洞。【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了改漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】
当前修复代码的演示版本为 Phpcms V9.6.0 Release 20151225,修复区域,所在位置约221行(请自行核对不同版本行差)
原始代码
if ($_GET['group']) {
$group = " `".$_GET['group']."`";
$fields = "*, COUNT(".$_GET['group'].") AS num";
$order = " `num` DESC";
}
补丁代码
if ($_GET['group']) { $_GET['group'] = preg_replace('#`#', '', $_GET['group']);
$group = " `".$_GET['group']."`";
$fields = "*, COUNT(".$_GET['group'].") AS num";
$order = " `num` DESC";
}
(3)、PHPCMS V9 /phpcms/modules/pay/respond.php phpcmsv9宽字节注入修复补丁
漏洞名称:phpcmsv9宽字节注入
文件路径:/phpcms/modules/pay/respond.php
修复方法来源于阿里云(安骑士)
源代码:
/**
* return_url get形式响应
*/
public function respond_get() {
if ($_GET['code']){
$payment = $this->get_by_code($_GET['code']);
if(!$payment) showmessage(L('payment_failed'));
$cfg = unserialize_config($payment['config']);
补丁代码:
/**
* return_url get形式响应
*/
public function respond_get() {
if ($_GET['code']){
$payment = $this->get_by_code(mysql_real_escape_string($_GET['code'])); //补丁替换代码
if(!$payment) showmessage(L('payment_failed'));
$cfg = unserialize_config($payment['config']);
(4)、漏洞名称:phpcms注入漏洞
补丁编号:5454247
补丁文件:/api/phpsso.php
补丁来源:云盾自研
漏洞描述:phpcms注入漏洞。
打开文件 /api/phpsso.php 找到125行if ($action == 'synlogin')
原代码:
/**
*同步登陆
*/
if ($action == 'synlogin') {
if(!isset($arr['uid'])) exit('0');
$arr['uid'] = intval($arr['uid']);
$phpssouid = $arr['uid'];
$userinfo = $db->get_one(array('phpssouid'=>$phpssouid));
补丁代码:
/**
*同步登陆
*/
if ($action == 'synlogin') {
if(!isset($arr['uid'])) exit('0');
$phpssouid = intval($arr['uid']); /** 补丁[合二为一] */
$userinfo = $db->get_one(array('phpssouid'=>$phpssouid));