那今天我们继续说一下如何修补微橙/微赞/小猪CMS等微信三级分销商城微擎SQL注入漏洞的方法。之前公布过2个相关漏洞了,今天继续用深蓝网站建设的知识修复一下该漏洞。
微橙/微赞/小猪CMS等微信三级分销商城微擎反序列化注入漏洞修复方法
漏洞在web/source/mc/card.ctrl.php,修复方法(代码在201行左右)
搜索
if (false === pdo_update('mc_card_members', $status, array('uniacid' => $_W['uniacid'], 'id' => $_GPC['cardid']))) {
修改为
$_GPC['cardid'] = intval($_GPC['cardid']); if (false === pdo_update('mc_card_members', $status, array('uniacid' => $_W['uniacid'], 'id' => $_GPC['cardid']))) {
就可以了,看的懂的一眼就发现原理了,看不懂的也就不必懂了,修复了之后看成效就好了。
