阿里云主机

万维景盛

万维景盛官网
  • 2***146 20:29:56 购买 云服务器:aliQQServer
  • 2***146 20:29:12 下单 虚机:aliQQServer
  • 2***146 20:28:05 下单 虚机:aliQQServer
  • n***006 17:16:07 续费 虚机:HCU3
  • n***006 17:15:22 续费 虚机:HCU3
  • g***916 15:31:01 create 虚机:HCU1
  • g***916 15:30:45 下单 虚机:HCU1
  • 1***595 15:01:38 购买 卡密:BaCodeB
  • 8***884 14:45:09 续费 虚机:HCA1
  • 8***884 14:44:28 续费 虚机:HCA1
  • g***ace 21:09:07 create 虚机:HCU1
  • g***ace 21:07:43 下单 虚机:HCU1
  • t***ing 18:47:23 create 虚机:HCU1
  • t***ing 18:46:05 下单 虚机:HCU1
  • z***ykj 17:31:34 购买 卡密:BaCodeB
  • 1***806 17:28:52 create 虚机:HCU1
  • 1***806 17:27:29 下单 虚机:HCU1
  • 1***588 17:00:53 购买 卡密:BaCodeB
  • b***krx 16:53:14 续费 虚机:HCU2
  • h***lei 16:18:11 续费 虚机:xgyx1g_w
阿里云发布Metinfo前台SQL注入漏洞及解决方案

近日,阿里云安全应急响应中心监测到有安全研究人员披露了Metinfo最新版本6.1.2网站前台SQL注入漏洞。网络黑客通过编写恶意SQL语句代码,可以利用这个漏洞成功进行入侵并获取网站数据库敏感信息和权限。

漏洞具体内容

漏洞文件metinfo6.1.2/app/system/message/web/message.class.php中未对id参数做有效过滤,导致SQL注入漏洞。

漏洞风险级别

CNVD-2018-20024 高危

漏洞影响范围

Metinfo 6.1.2

安全建议

升级至官方最新版本6.1.3可修复此漏洞,万维网提供临时解决方案参考如下:

方案一:

修改文件:/app/system/message/web/message.class.php

修改内容:

$met_fd_ok=DB::get_one("select * from {$_M[table][config]} where lang ='{$_M[form][lang]}' and name= 'met_fd_ok' and columnid = {$_M[form][id]}");

修改为:

$met_fd_ok=DB::get_one("select * from {$_M[table][config]} where lang ='{$_M[form][lang]}' and name= 'met_fd_ok' and columnid = '{$_M[form][id]}'");

方案二:

安骑士/态势感知企业版用户可使用"一键修复"功能修复漏洞,详情登陆云盾控制台

方案三:

云盾WAF已可防御此漏洞攻击

云盾网站威胁扫描系统已支持对该漏洞检测

如需要购买阿里云云盾WAF、阿里云安骑士、阿里云态势感知企业版、阿里云网站威胁扫描系统等产品,可以联系万维景盛客服代购,享受折上折优惠。









阿里云安全应急响应中心

2018.12.4


会员 客服 充值 工单
Top

客服热线

010-57180806

18610695105

客服QQ

请拨总机 010-57180806

咨询售后问题建议 提交工单