DEDECMS支付插件存在SQL注入漏洞

2017年6月4日 建站技术 浏览 4,438 抢沙发 A+

DEDECMS支付插件存在SQL注入漏洞

DEDECMS支付插件存在SQL注入漏洞,此漏洞存在于/include/payment/alipay.php文件中,对输入参数$_GET['out_trade_no']未进行严格过滤。

漏洞文件:/include/payment/alipay.php

修补方法:

找到漏洞文件中的这一句(如果没有大的修改一般在137行):

$order_sn = trim($_GET['out_trade_no']);

替换为:

$order_sn = trim(addslashes($_GET['out_trade_no']));

保存上传覆盖即可修复此漏洞。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: