EMLOG最新敏感信息泄漏漏洞

  • A+
所属分类:颓废's Blog
摘要

直接访问: 测试某博客如下图
需要登陆(至少是网站的会员/作者权限)


漏洞地址

/admin/index.php

EMLOG最新敏感信息泄漏漏洞

如上图,我们只要构造如下的URL:

https://www.0dayhack.com/admin/index.php?action=phpinfo

直接访问:

测试某博客如下图

EMLOG最新敏感信息泄漏漏洞

触发条件:

需要登陆(至少是网站的会员/作者权限)

处理方法:

1.此处获取phpinfo的信息应该是网站后台需要的,我们把这个函数(上图红线方框内代码)删除即可;

2.限制权限(仅允许管理员),则修改为如下代码:

//phpinfo()   if ($action == 'phpinfo') {       if (ROLE == ROLE_ADMIN){           @phpinfo() OR emMsg("phpinfo函数被禁用!");       }       else{           emMsg('权限不足!','./');       }   }  

EMLOG最新敏感信息泄漏漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: