立即注册 找回密码

QQ登录

只需一步,快速开始

查看: 1843|回复: 0

[Dedecms 安装问题] 织梦dedecms安全漏洞include/common.inc.php漏洞解决方法

[复制链接]
发表于 2023-2-18 09:46:24 | 显示全部楼层 |阅读模式
道勤网-数据www.daoqin.net

亲注册登录道勤网-可以查看更多帖子内容哦!(包涵精彩图片、文字详情等)请您及时注册登录-www.daoqin.net

您需要 登录 才可以下载或查看,没有账号?立即注册

x
织梦Dedecms安全漏洞include/common.inc.php漏洞解决方法

1.受影响版本织梦dedecms 5.7、5.6、5.5。 2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。
描述:

目标存在全局变量覆盖漏洞。

1.受影响版本DEDECMS 5.7、5.6、5.5。
2.漏洞文件/include/common.inc.php
3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。

危害:

1.黑客可以通过此漏洞来重定义数据库连接。
2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门。

临时解决方案:

在 /include/common.inc.php 中

找到注册变量的代码

  1. foreach(Array('_GET','_POST','_COOKIE') as $_request)
  2. {
  3.          foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
  4. }
复制代码

修改为

  1. foreach(Array('_GET','_POST','_COOKIE') as $_request)
  2. {
  3.          foreach($$_request as $_k => $_v) {
  4.                     if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){
  5.                             exit('Request var not allow!');
  6.                    }
  7.                     ${$_k} = _RunMagicQuotes($_v);
  8.     }
  9. }
复制代码

到此这篇关于织梦dedecms安全漏洞include/common.inc.php漏洞解决方法的文章就介绍到这了,更多相关dedecms common.inc.php漏洞内容请搜索脚本之家以前的文章或继续浏览下面的相关文章,



道勤主机提供365天*24小时全年全天无休、实时在线、零等待的售后技术支持。竭力为您免费处理您在使用道勤主机过程中所遇到的一切问题! 如果您是道勤主机用户,那么您可以通过QQ【792472177】、售后QQ【59133755】、旺旺【诠释意念】、微信:q792472177免费电话、后台提交工单这些方式联系道勤主机客服! 如果您不是我们的客户也没问题,点击页面最右边的企业QQ在线咨询图标联系我们并购买后,我们为您免费进行无缝搬家服务,让您享受网站零访问延迟的迁移到道勤主机的服务!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

道勤网- 推荐内容!上一条 /2 下一条

!jz_fbzt! !jz_sgzt! !jz_xgzt! 快速回复 !jz_fhlb! !jz_lxwm! !jz_gfqqq!

关于我们|手机版|小黑屋|地图|【道勤网】-www.daoqin.net 软件视频自学教程|免费教程|自学电脑|3D教程|平面教程|影视动画教程|办公教程|机械设计教程|网站设计教程 ( 皖ICP备15000319号-1 )

GMT+8, 2024-12-23 16:01

Powered by DaoQin! X3.4 © 2016-2063 Dao Qin & 道勤科技

快速回复 返回顶部 返回列表