无限星辰工作室-客户无限互联网动力之源

标题: UC_KEY泄露后导致任意文件上传漏洞修复方案之一 [打印本页]

作者: crx349 时间: 2017-8-7 00:11
标题: UC_KEY泄露后导致任意文件上传漏洞修复方案之一
UC_KEY泄露后，头像功能有可能被用于上传任意文件
uc_server/model/base.php
找到

function input($k) {

复制代码

下边加

if($k == 'uid' && !preg_match("/^[0-9]+$/", $this->input[$k])){ return NULL;}

复制代码

uc_server/model/pm.php
找到

if($uid == $value || !$value) {

复制代码

修改为

if($uid == $value || !$value || !preg_match("/^[0-9]+$/", $value)) {

复制代码

作者: crx349 时间: 2018-3-18 13:35

欢迎光临无限星辰工作室-客户无限互联网动力之源 (https://xmspace.net/)

Powered by Discuz! X3.4