Discuz v63积分商城插件sql注入漏洞

时间:2013-03-19 10:16

今日360webscan安全团队截获【Discuz论坛v63积分商城插件注入漏洞】

 

漏洞存在于该插件的config.ini.php文件中的getGoods函数

 

 

该漏洞直接危及到网站数据及网站服务器的安全,最终导致网站“脱库”、“挂马”等严重后果,由于该插件是网友网上发布的一个插件,并且停止了更新,所以暂时无官方补丁,站长可以用如下临时解决方案修复改漏洞,避免网站被入侵的风险。修改该插件的config.ini.php文件中的29行

 

$query = DB::query('select * from '.DB::table('v63_goods').' where `id` ='.$id);

 

修改成

 

$query=DB::query('select * from '.DB::table('63_goods').' where `id` ='.intval($id));