6.1.1641版本中存在SQL注入漏洞,攻击者可以利用该漏洞,执行恶意SQL语句。属于“高危”级别安全漏洞,黑客可以通过这些漏洞,直接在网站上执行任意代码,控制网站及系统,最终导致“挂马”、“脱库”、“植入非法SEO链接”等
另外 乌云发布了 一个 api漏洞,由于几乎用不上,我直接把API目录删除了!
解决办法
1、打开文件/system/lib/kc_template_class.php,找到如下代码:
case 'get':
$s=kc_get($name,0);
$validate=kc_val($attrib,'validate');
替换为
case 'get':
$s=htmlspecialchars(kc_get($name,0));
$validate=kc_val($attrib,'validate');
2、打开文件search.php代码,找到如下代码(注意:代码共有两处,都要替换):
$modelid=isset($_GET['modelid']) ? $_GET['modelid'] : $currentArray['modelid'];
替换为
$modelid=isset($_GET['modelid']) ? intval($_GET['modelid']) : $currentArray['modelid'];
声明:本站文章除个人原创外,其他内容均为个人搜集整理,如整理过程中侵犯到您的著作权或其他权利,请联系告知,微信/QQ:93547942。