欢迎光临杨雨的个人博客站!

杨雨个人网站-杨雨个人博客-杨照佳

杨雨个人博客网站

关注互联网和搜索引擎的个人博客网站

首页 > cms使用教程 > 织梦仿站教程 >

DedeCMS零日威胁来袭 SCANV发布红色警报

发布时间:2019-03-10  编辑:杨雨个人博客网站   点击:   

近日,一名ID为“imspider”的漏洞研究者在网络安全社区t00ls论坛发布了DedeCMS的“任意密码重置”漏洞,经知道创宇SCANV网站安全研究人员确认,该漏洞属于“高危”级别漏洞,可以直接“秒杀”网站服务器,获取CMS管理员权限。

2004年至今,DedeCMS已占领了国内CMS的大部份市场,有超过35万个站点正在使用DedeCMS或基于DedeCMS核心开发,产品安装量达到95万。是目前国内最常见的建站程序之一,也是“黑客”密切关注的对象。

自2013年3月份开始,SCANV网站安全中心几乎每周都能发现DedeCMS的漏洞信息,且其中大多都是SQL注入、文件上传、密码篡改等致命漏洞,每个都能导致网站遭受“挂马”、“脱裤”的威胁……

截至到本文发布为止,官方还没有对此发布任何修复补丁。目前SCANV网站安全中心已积极联系DedeCMS官方,请站长密切关注相关动态。

针对该漏洞SCANV网站安全中心也推出了临时解决方案,建议广大DedeCMS站长立即采用。

临时解决方案:

打开文件/include/dedesql.class.php及/include/dedesqli.class.php

找到如下代码:

if(isset($GLOBALS['arrs1']))

{

$v1 = $v2 = '';

for($i=0;isset($arrs1[$i]);$i++)

{

$v1 .= chr($arrs1[$i]);

}

for($i=0;isset($arrs2[$i]);$i++)

{

$v2 .= chr($arrs2[$i]);

}

$GLOBALS[$v1] .= $v2;

}

修改为:

$GLOBALS['arrs1']=array();//fixedbyknownsec.com 2013.06.07

if(isset($GLOBALS['arrs1']))

{

$v1 = $v2 = '';

for($i=0;isset($arrs1[$i]);$i++)

{

$v1 .= chr($arrs1[$i]);

}

for($i=0;isset($arrs2[$i]);$i++)

{

$v2 .= chr($arrs2[$i]);

}

$GLOBALS[$v1] .= $v2;

本文地址:http://itbyc.com/web/dedecms/18999.html
转载请注明出处。
分享是一种快乐,也是一种美德:
评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)
博客首页 | WEB开发 | 网站运营 | CMS使用教程 滇ICP备14002061号-1