簡介:

2018年10月16日，阿里云云盾應(yīng)急響應(yīng)中心監(jiān)測到有安全研究人員披露了Metinfo最新版本6.1.2網(wǎng)站前臺SQL注入漏洞。攻擊者通過構(gòu)造惡意SQL語句，成功利用該漏洞進(jìn)行攻擊可獲取網(wǎng)站數(shù)據(jù)庫敏感信息及權(quán)限。

詳情:

漏洞文件metinfo6.1.2/app/system/message/web/message.class.php中未對id參數(shù)做有效過濾，導(dǎo)致SQL注入漏洞。

解決方案:

方案一：
修改文件：/app/system/message/web/message.class.php
修改內(nèi)容： （大約在43行，可以直接搜索）
$met_fd_ok=DB::get_one(“select * from {$M

[config]} where lang ='{$M[form][lang]}' and name= 'met_fd_ok' and columnid = {$M[form][id]}“);
修改為：
$met_fd_ok=DB::get_one(“select * from {$M[config]} where lang ='{$M[form][lang]}' and name= 'met_fd_ok' and columnid = '{$M[form][id]}'“);

方案二：
安騎士/態(tài)勢感知企業(yè)版用戶可使用"一鍵修復(fù)"功能修復(fù)漏洞，詳情登陸云盾控制臺

方案三：
云盾WAF已可防御此漏洞攻擊
云盾網(wǎng)站威脅掃描系統(tǒng)已支持對該漏洞檢測

方案四：

升級到官方最新的6.1.3版本

總結(jié)

以上是生活随笔為你收集整理的企业建站系统Metinfo <=6.1.2 SQL注入漏洞修复方案的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。