漏洞公告
destoon变量覆盖导致延时注入
简介
destoon使用extract函数对参数进行注册时,使用不当导致变量覆盖,从而参数不可控,导致SQL延时注入。
路径:
/file/update/20180808/backup/module/mall/my.inc.php
风险重要提醒(必读)
由于云安全中心漏洞修复在测试中无法覆盖所有系统环境,进行漏洞补丁修复行为仍存在一定风险。为了防止出现不可预料的后果,建议您先通过控制台手动创建快照并自行搭建环境充分测试修复方案。
另请参考系统软件漏洞修复最佳实践。
解决方案:
my.inc.php里面所有的extract函数加上, EXTR_SKIP参数。
具体为:
extract($item);修改成extract($item,EXTR_SKIP);