dedecms的变量覆盖漏洞导致注入漏洞修复

2016年9月21日 建站技术 浏览 3,802 2 条评论 A+

dedecms的变量覆盖漏洞导致注入漏洞修复 建站技术

dedecms的变量覆盖漏洞导致注入漏洞,/include/filter.inc.php这个文件在系统配置文件之后,里面有foreach循环创建变量,所以可以覆盖系统变量,在/member目录的大部分文件都包含这么一个文件,也就是说/member目录的大部分文件都受此漏洞影响可以覆盖系统变量。

修复方案,在/include/filter.inc.php文件的末尾加上下面的代码,上传覆盖即可:

/* 对_GET,_POST,_COOKIE进行过滤 */

foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
    foreach($$_request as $_k => $_v)
    {
        ${$_k} = _FilterAll($_k,$_v);
    }
}

目前评论:2   其中:访客  2   博主  0

  1. 1111 0

    http: :wink: :wink: aa双打

  2. 币安 2

    也就是说/member目录的大部分文件都受此漏洞影响可以覆盖系统变量。

评论加载中...

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: