近日,阿里云安全应急响应中心监测到有安全研究人员披露了Metinfo最新版本6.1.2网站前台SQL注入漏洞。网络黑客通过编写恶意SQL语句代码,可以利用这个漏洞成功进行入侵并获取网站数据库敏感信息和权限。
漏洞具体内容
漏洞文件metinfo6.1.2/app/system/message/web/message.class.php中未对id参数做有效过滤,导致SQL注入漏洞。
漏洞风险级别
CNVD-2018-20024 高危
漏洞影响范围
Metinfo 6.1.2
安全建议
升级至官方最新版本6.1.3可修复此漏洞,万维网提供临时解决方案参考如下:
方案一:
修改文件:/app/system/message/web/message.class.php
修改内容:
$met_fd_ok=DB::get_one("select * from {$_M[table][config]} where lang ='{$_M[form][lang]}' and name= 'met_fd_ok' and columnid = {$_M[form][id]}");
修改为:
$met_fd_ok=DB::get_one("select * from {$_M[table][config]} where lang ='{$_M[form][lang]}' and name= 'met_fd_ok' and columnid = '{$_M[form][id]}'");
方案二:
安骑士/态势感知企业版用户可使用"一键修复"功能修复漏洞,详情登陆云盾控制台
方案三:
云盾WAF已可防御此漏洞攻击
云盾网站威胁扫描系统已支持对该漏洞检测
如需要购买阿里云云盾WAF、阿里云安骑士、阿里云态势感知企业版、阿里云网站威胁扫描系统等产品,可以联系万维景盛客服代购,享受折上折优惠。
阿里云安全应急响应中心
2018.12.4