metinfo漏洞于2018年10月20号被爆出存在sql注入漏洞,可以直接拿到網站管理者的權限,網站漏洞影響範圍較廣,包括目前最新的metinfo版本都會受到該漏洞的攻擊,該metinfo漏洞産生的主要原因是可以繞過metinfo的安全過濾函數,導緻可以直接插入惡意的sql注入語句執行到網站的後端裡去,在資料庫裡執行管理者操作的一些功能,甚至可以直接sql注入到首頁檔案index.php去擷取到管理者的賬号密碼,進而登入背景去拿到整個網站的權限。
metinfo程式企業網站被入侵的症狀是首頁檔案被篡改,被替換增加了一些加密的代碼如圖:網站在各大搜尋引擎中的快照内容被修改,而且打開網站後會被跳轉到一些賭bo網站,嚴重影響客戶通路公司企業網站的信譽度。
metinfo是國内用的比較的一個建站系統,許多中小企業都在使用這套cms系統,簡單,快捷,可視化,是新手都可以設計網頁的一個系統,超強大,這次漏洞影響範圍較大,9月26号釋出的最新版都有這個網站漏洞,SINE安全預計接下來的時間将會有大量的企業網站被黑,請給位網站營運者盡快的做好網站漏洞修複工作,以及網站的安全加強防護。
metinfo使用了很多年了,開發語言是PHP腳本語言開發的,資料庫采用mysql資料庫,開發簡單快捷,從之前就不斷的爆出漏洞,什麼遠端代碼執行漏洞,管理者賬号密碼篡改漏洞,XSS跨站等等。
關于該metinfo漏洞的詳情與漏洞的修複如下:
這些網站漏洞的本質問題是由于網站根目錄下的app檔案下的system目錄裡的message代碼,其中有段message的sql執行代碼是select * from {$M[table][config]} where lang ='{$M[form][lang]}' and name= 'met_fdok' and columnid = {$M[form][id]},這行代碼裡沒有單引号,導緻可以進行sql注入,插入惡意的參數去繞過metinfo自身的安全過濾系統,加上inadmin這個值沒有進行強制的轉換與定義,導緻sql過濾函數可以把使用者輸入的特殊字元都給删除,利用index首頁檔案的domessage的方式去定義了inadmin變量,進而進行了sql注入。目前影響的metinfo版本是,Metinfo 6.1.3 MetInfo 6.1.2,MetInfo 6.1.1,MetInfo 5.3.4 5.3.8,請管理者盡快更新最新版本,修複網站的漏洞,或者在代碼裡自定義部署sql注入攔截系統,做好網站安全防護。