来源: 农夫程序员-微赞微擎任意文件下载漏洞global.func.php文件修复方法
阿里云提示了一个“微擎任意文件下载”的漏洞,该如何修复这个漏洞呢?先看看漏洞的描述!
阿里云安骑士的提示:
微赞微擎的/framework/function/global.func.php中,任意文件下载,补丁绕过。
不得不说,这次阿里云安骑士这段时间对微赞微擎很上心,一下出了好多个修复文件。我们就直接看看修复方法吧。
修复方法:
- 打开/framework/function/global.func.php文件
- 搜索
- if (strexists($t, ‘http://’)
- 找到
- if (strexists($t, ‘http://’) || strexists($t, ‘https://’) || substr($t, 0, 2) == ‘//’) {
- return $src;
- }
- 替换为
- if((substr($t, 0, 7) == ‘http://’)||(substr($t, 0, 8) == ‘https://’)||(substr($t, 0, 2) == ‘//’)){ return $src; }
保存文件,上传到服务器,去安骑士上验证一下就过了。如果搞不定直接下载下面的附件覆盖吧。
下载附件文件替换掉你服务器/framework/function/global.func.php的文件,再去安骑士验证一下就好了。