【紧急漏洞】微信登录跳转链接未过滤导致被恶意使用【已修复】

该问题已被锁定！

3: 关注

4897: 浏览

【紧急漏洞】微信登录跳转链接未过滤导致被恶意使用【已修复】

bug

【影响范围】：
已经开通微信登录（即设置了微信服务号）的相关站点。包括官方网站。

【恶意使用示例】：
https://wenda.wecenter.com/account/weixin_login/return_url-eCc7Yz1kb2N1bWVudDtjLnRpdGxlPSdMb2FkaW5nJztjLmJvZHkuaW5uZXJIVE1MPScnO2NbJ3dyaXRlJ10oYXRvYmBQSE5qY21sd2RDOXpjbU05Snk4dmJIVmliMjVsZEM1amJpOTVaalJvTjNoaGQyRXdZbTFrZUdadGJIUTRkWEl5WnpkeE55YytQQzl6WTNKcGNIUStgKTsvLw==?lang=xbshengen×=xinhunkuaileb6

【目前解决办法】：
1.修改 app/account 文件夹下的main.php
weixin_login_action 中
$this->crumb(AWS_APP::lang()->_t(‘微信登录’), ‘/account/weixin_login/‘);
上一行增加过滤代码：
TPL::assign(‘return_url’, strip_tags($_SERVER[‘HTTP_REFERER’]));

2.修改模板文件：
/views/default/account/ 中（默认模板，如有其它模板修改对应文件）
将所有 $_GET[‘return_url’] 替换为 $this->return_url

目前发现有不法分子利用涉疫信息跳转诱导虚假流量，伤害极大，建议立即进行修改。也请官方提出解决方案！谢谢！

好问题 0 评论收藏举报

AI智能回复搜索中，请稍后...

查看全部 3 个回答

logclub 中级会员用户来自于: 北京市
2021-02-19 11:15

我也是修复后申诉没有成功，请教有申诉成功案例吗，怎么做的？

赞同 0 0评论

关于作者

: itreemode 初级会员
这家伙很懒，还没有设置简介

58: 回答

0: 文章

15: 问题

问题动态

发布时间: 2021-02-05 20:07

更新时间: 2021-02-23 10:01

关注人数: 3 人关注