【漏洞预警】Metinfo前台SQL注入漏洞
发布时间：2018-10-17 14:14

　　2018年10月16日，阿里云云盾应急响应中心监测到有安全研究人员披露了Metinfo最新版本6.1.2网站前台SQL注入漏洞。攻击者通过构造恶意SQL语句，成功利用该漏洞进行攻击可获取网站数据库敏感信息及权限。

　　漏洞描述

　　漏洞文件metinfo6.1.2/app/system/message/web/message.class.php中未对id参数做有效过滤，导致SQL注入漏洞。

　　漏洞评级

　　CNVD-2018-20024 高危

　　影响范围

　　Metinfo 6.1.2

　　安全建议

　　升级至官方最新版本6.1.3可修复此漏洞，云盾临时解决方案参考如下：

　　方案一：

　　修改文件：/app/system/message/web/message.class.php

　　修改内容：

　　$met_fd_ok=DB::get_one("select * from {$_M[table][config]} where lang ='{$_M[form][lang]}' and name= 'met_fd_ok' and columnid = {$_M[form][id]}");

　　修改为：

　　$met_fd_ok=DB::get_one("select * from {$_M[table][config]} where lang ='{$_M[form][lang]}' and name= 'met_fd_ok' and columnid = '{$_M[form][id]}'");

　　方案二：

　　安骑士/态势感知企业版用户可使用"一键修复"功能修复漏洞，详情登陆云盾控制台

　　方案三：

　　云盾WAF已可防御此漏洞攻击

　　云盾网站威胁扫描系统已支持对该漏洞检测

　　我们会关注后续进展，请随时关注官方公告。

　　如有任何问题，可随时通过工单或服务电话95187联系反馈。