查看: 7291|回复: 5

[补 丁] 【重要】phpcms v9全系列 URL规则任意代码执行漏洞 - 修复方法

  [复制链接]
发表于 2017-12-19 16:25:55 | 显示全部楼层 |阅读模式

涉及文件:
phpcms\modules\admin\urlrule.php

step1.将文件中如下代码:
  1. $this->url_ifok($_POST['info']['urlrule'])
复制代码

修改为
  1. $this->url_ifok($_POST['info']['urlrule'], $_POST['info']['ishtml'])
复制代码


step2.将如下函数:

  1. public function url_ifok($url){
  2.                 $urldb = explode("|",$url);
  3.                 foreach($urldb as $key=>$value){
  4.                         if(strpos($value, "index.php") === 0){
  5.                                 $value = substr($value,'9');
  6.                         }
  7.                         if( stripos($value, "php") !== false){
  8.                                 return false;
  9.                         }
  10.                 }
  11.                 return true;
  12.         }
复制代码

替换为:
  1. public function url_ifok($url, $ishtml){
  2.                 $urldb = explode("|",$url);
  3.                 foreach($urldb as $key=>$value){
  4.                         if(!intval($ishtml) && strpos($value, "index.php") === 0){
  5.                                 $value = substr($value,'9');
  6.                         }
  7.                         if( stripos($value, "php") !== false){
  8.                                 return false;
  9.                         }
  10.                 }
  11.                 return true;
  12.         }
复制代码


也可以参照以下commit进行修改:
https://gitee.com/phpcms/phpcms/ ... 97b1437ef8de3e7181f

评分

参与人数 1鲜花 +5 收起 理由
722307 + 5 phpcms终于有人更新了……

查看全部评分

发表于 2017-12-20 18:36:50 | 显示全部楼层
:victory::victory::victory::victory:顶,支持支持
回复 支持 反对

使用道具 举报

发表于 2017-12-21 11:35:53 | 显示全部楼层
:victory::victory::victory:支持
回复 支持 反对

使用道具 举报

发表于 2017-12-22 10:11:19 | 显示全部楼层
支持~:victory::victory::victory:
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 点击这里注册

本版积分规则

小黑屋|Archiver|phpcms网站管理系统 ( 京ICP备14011169 )

GMT+8, 2019-8-19 22:21 , Processed in 0.212214 second(s), 8 queries , Memcache On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表