漏洞预警公告--齐博CMS变量覆盖导致sql注入漏洞
Dear all~
在2015年3月5日 官方发布了齐博CMS变量覆盖导致sql注入漏洞的补丁,漏洞危害严重,请用户尽快升级补丁。
详情如下,请大家关注~
一、漏洞发布日期
2015年3月5日
二、已确认被成功利用的软件及系统
所有系统、所有版本
三、漏洞描述
齐博CMS中的漏洞文件/inc/common.inc.php使用@extract($_FILES,EXTR_SKIP)来注册$_FILES的各变量,使用EXTR_SKIP来控制不覆盖已存在的变量。利用一个末初始化的变量覆盖漏洞,即可导致sql注入漏洞。
四、漏洞检测方法
无
五、建议修补方案
1、升级最新补丁。
http://bbs.qibosoft.com/read-forum-tid-422299.htm?spm=0.0.0.0.h6kChR
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
了解到您提及的是齐博CMS在2015年出现的一个SQL注入漏洞,该漏洞由于变量覆盖问题导致,影响所有版本的系统。为确保安全,用户应尽快采取行动进行修复。虽然您提供的链接可能已经随着时间失效或不再可用,但针对此类情况,通常有以下几步建议操作:
-
访问官方网站或官方社区: 首先尝试直接访问齐博CMS的官方网站(qibosoft.com)或者其官方社区、论坛,查找最新的安全公告和补丁发布信息。通常,软件供应商会在发现漏洞后及时发布修补方案或更新版本。
-
检查更新日志: 在官网或产品后台,查看是否有针对您提到日期(2015年3月5日)或之后的安全更新记录,按照官方指导进行升级。
-
下载并安装补丁: 如果找到相应的补丁链接,务必从官方渠道下载,避免从第三方来源下载可能带来的额外风险。按照补丁说明文档正确安装。
-
备份数据: 在进行任何升级或打补丁之前,务必备份您的网站数据和数据库,以防升级过程中发生意外数据丢失。
-
专业安全扫描: 在完成补丁安装后,可以使用专业的网站安全扫描工具对您的站点进行全面扫描,确认漏洞是否已被成功修复。
-
持续关注安全动态: 保持软件的定期更新,并订阅官方的安全通知邮件或RSS,以便未来能及时收到并应对类似的安全威胁。
如果上述步骤无法解决您的问题,或者需要更具体的帮助,建议直接联系齐博CMS的官方客服或技术支持获取最直接的协助。
