今日discuz官方论坛有会员爆出猛料——ss7.0存在高危漏洞!任何人可以修改别人的文章,这意味着,您可以在别人网站上添加任意内容!反之,何人都可以修改您网站的内容!!更别说放一点加载木马之类的东东。
绿色de收藏/站长按照流传的方法进行测试,发现的确可以随意修改任意资讯文章。为了避免您的网站遭到恶意入侵,请按照下面的非官方解决方法进行程序修补:
办法1、关闭网站自动审核的功能,可防止被恶意修改后的文章在前台显示出来。但仍然无法阻止文章被他人恶意修改,且无法恢复。此方法不用修改任何源码。
办法2、修改admin/admin_spacenews.php的代码,此方法可以禁止别人的入侵。
首先找到:
if($thevalue) {
然后在添加一段代码,修改后变成:
以下为引用的内容:
if($thevalue) { if (($isuid) && ($_SGLOBAL['supe_uid'] != $thevalue['uid']) && ($_GET['op'] == ‘edit’)) { showmessage(’submit_invalid_error’); }
据悉, 康盛创想官方目前已安排技术人员跟进此问题,确认是否有此漏洞,同时,康盛创想官方工作人员表示,希望广大站长升级至7.5版本,做好版本维护工作也是保障网站安全的必要因素之一。
本文由http://blog.lvse.de站长供稿。
时间: 2024-10-13 21:31:49