近日，阿里云安全应急响应中心监测到有安全研究人员披露了Metinfo最新版本6.1.2网站前台SQL注入漏洞。网络黑客通过编写恶意SQL语句代码，可以利用这个漏洞成功进行入侵并获取网站数据库敏感信息和权限。

漏洞具体内容

漏洞文件metinfo6.1.2/app/system/message/web/message.class.php中未对id参数做有效过滤，导致SQL注入漏洞。

漏洞风险级别

CNVD-2018-20024 高危

漏洞影响范围

Metinfo 6.1.2

安全建议

升级至官方最新版本6.1.3可修复此漏洞，万维网提供临时解决方案参考如下：

方案一：

修改文件：/app/system/message/web/message.class.php

修改内容：

$met_fd_ok=DB::get_one("select * from {$_M[table][config]} where lang ='{$_M[form][lang]}' and name= 'met_fd_ok' and columnid = {$_M[form][id]}");

修改为：

$met_fd_ok=DB::get_one("select * from {$_M[table][config]} where lang ='{$_M[form][lang]}' and name= 'met_fd_ok' and columnid = '{$_M[form][id]}'");

方案二：

安骑士/态势感知企业版用户可使用"一键修复"功能修复漏洞，详情登陆云盾控制台

方案三：

云盾WAF已可防御此漏洞攻击

云盾网站威胁扫描系统已支持对该漏洞检测
 

阿里云代理商凯铧互联提供阿里云服务器/企业邮箱等产品的代购服务，同样的品质，更多贴心的服务，更实惠的价格。 阿里云代理商凯铧互联会为您提供一对一专业全面的技术服务，同时还能为您提供阿里云其他产品购买的专属折扣优惠。通过凯铧互联购买可以获得折上折优惠！若您需要帮助可以直接联系我方客服，阿里云代理商凯铧互联专业技术团队为您提供全面便捷专业的7x24技术服务。 电话专线：136-5130-9831，QQ:3398234753

为什么选择我们：北京凯铧互联科技有限公司（简称凯铧互联）由多名前阿里云资深技术专家创立,核心员工来自阿里巴巴、腾讯等,作为阿里云,腾讯云百度云,金山云,华为云重要的合作伙伴,专注于为企业用户提供云计算及云计算的解决方案。总部设在北京,并在内蒙设有办事处。做为一家综合性方案商,凯铧互联向各行业用户提供基于云计算的各种解决方案。为用户获得优质服务的同时,秉承"专业规划、周到服务"的服务理念,根据用户的实际情况,充分考虑各种网络资源的特点及功效,为用户量身定做一套适合于其实际应用需求的网络应用方案。帮助用户利用互联网的力量展开新的营销方式,并大大缩短了项目实施周期,获得用户的一致好评。