打印 上一主题 下一主题

【漏洞预警】Metinfo前台SQL注入漏洞

跳转到指定楼层
楼主
SetYun 发表于 2018-10-19 17:12:58 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

2018年10月16日,阿里云云盾应急响应中心监测到有安全研究人员披露了Metinfo最新版本6.1.2网站前台SQL注入漏洞。攻击者通过构造恶意SQL语句,成功利用该漏洞进行攻击可获取网站数据库敏感信息及权限。



漏洞描述

漏洞文件metinfo6.1.2/app/system/message/web/message.class.php中未对id参数做有效过滤,导致SQL注入漏洞。



漏洞评级

CNVD-2018-20024 高危



影响范围

Metinfo 6.1.2



安全建议

升级至官方最新版本6.1.3可修复此漏洞,云盾临时解决方案参考如下:



方案一:

修改文件:/app/system/message/web/message.class.php

修改内容:

$met_fd_ok=DB::get_one("select * from {$_M[table][config]} where lang ='{$_M[form][lang]}' and name= 'met_fd_ok' and columnid = {$_M[form][id]}");

修改为:

$met_fd_ok=DB::get_one("select * from {$_M[table][config]} where lang ='{$_M[form][lang]}' and name= 'met_fd_ok' and columnid = '{$_M[form][id]}'");



方案二:

安骑士/态势感知企业版用户可使用"一键修复"功能修复漏洞,详情登陆云盾控制台



方案三:

云盾WAF已可防御此漏洞攻击

云盾网站威胁扫描系统已支持对该漏洞检测






我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时通过工单或服务电话95187联系反馈。


阿里云云盾应急响应中心

2018.10.16


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|SetYun ( 辽ICP备16005250号

GMT+8, 2024-12-23 06:23 , Processed in 0.035695 second(s), 4 queries , File On.

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表