“Discuz! 后臺數(shù)據(jù)庫備份功能命令執(zhí)行漏洞”修復了嗎？

刻銘

阿里云給的提示：

2018年8月27號，有安全研究人員在GitHub上公布了有關Discuz!多個版本中后臺數(shù)據(jù)庫備份功能存在的命令執(zhí)行漏洞的細節(jié)。

目前官方對于老版本Discuz不再更新，如需要手動修復此漏洞，較可靠的做法是將Discuz升級到Discuz3.4或以上版本。
【注意：該補丁為云盾自研代碼修復方案，云盾會根據(jù)您當前代碼是否符合云盾自研的修復模式進行檢測，如果您自行采取了底層/框架統(tǒng)一修復、或者使用了其他的修復方案，可能會導致您雖然已經(jīng)修復了該漏洞，云盾依然報告存在漏洞，遇到該情況可選擇忽略該漏洞提示】

【云盾自研代碼修復方案】
修改文件：/source/admincp/admincp_db.php
搜索代碼：$tablesstr .= '"'.$table.'" '; 修改成：$tablesstr.='"'.addslashes($table).'"';
搜索代碼：@unlink($dumpfile); 修改成：@unlink($dumpfile); $tablesstr=escapeshellarg($tablesstr);

現(xiàn)在最新版的DZ3.4是不是已經(jīng)修復了這個問題了，我無視阿里云的這個提示就好吧？

我知道答案 回答被采納將會獲得1 貢獻 已有5人回答

crx349

新版 無這個問題

牛離譜

crx349 發(fā)表于 2019-7-12 13:40
新版 無這個問題

一直都有，我前幾天剛更新到Discuz! X3.4 R20200818 UTF-8，仍然存在這個問題！

allthebest

全新安裝沒有這個漏洞，這個漏洞來自 Discuz ! x 1.5 或 Discuz  ! x 2.5 升級  Discuz ! x 3.4 版本！

羅永浩

allthebest 發(fā)表于 2020-9-4 03:40
全新安裝沒有這個漏洞，這個漏洞來自 Discuz ! x 1.5 或 Discuz  ! x 2.5 升級  Discuz ! x 3.4 版本！ ...

全新安裝沒有這個漏洞，就是說在原先3.4的基礎上覆蓋更新還有這個漏洞嗎

allthebest

羅永浩 發(fā)表于 2020-9-11 02:28
全新安裝沒有這個漏洞，就是說在原先3.4的基礎上覆蓋更新還有這個漏洞嗎 ...

全新安裝discus x 3.4 沒有這個漏洞