最新 DEDECMS SQL 注入 0day
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了最新 DEDECMS SQL 注入 0day,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1582字,纯文字阅读大概需要3分钟。
内容图文
![最新 DEDECMS SQL 注入 0day](/upload/InfoBanner/zyjiaocheng/468/3757dbc8119b4cc6b9d549ac9b140b8d.jpg)
4月29日消息:国内安全研究团队“知道创宇”称截获到最新DEDECMS SQL注入0day,DEDECMS官网目前提供下载的最新版5.7也受影响,截止本告警发出时官方尚未给出补丁或解决方案,此漏洞利用简单且dedecms安装之后默认即开启漏洞模块。
知道创宇给出三种临时解决方案:
方案一:临时补丁,需要四步
1、确保您的magic_quotes_gpc = On
开启方式:打开php安装目录中的php.ini,搜索magic_quotes_gpc,将其设置为On
2、/plus/carbuyaction.php 22行附近即
if ($cfg_mb_open == ‘N‘) { ShowMsg("系统关闭了会员功能,因此你无法访问此页面!","javascript:;"); exit(); }
下面添加一行代码:
$rs = array();
3、在 member/ajax_membergroup.php 33行附近即
if (empty($membergroup)) { echo "您还没有设置分组!"; exit; }
下面加入如下代码:
if(strpos($membergroup,"‘")){ echo "SQL注入防护临时补丁,知道创宇安全团队提醒您关注官方补丁!"; exit; }
4、原member/ajax_membergroup.php 36 行附近的
$row = $dsql->GetOne("SELECT groupname FROM #@__member_group WHERE mid = {$cfg_ml->M_ID} AND id={$membergroup}");
修改为:
$row = $dsql->GetOne("SELECT groupname FROM #@__member_group WHERE mid = {$cfg_ml->M_ID} AND id=‘{$membergroup}‘");
方案二:以网站管理员身份后台禁用会员功能
系统 -> 系统基本参数 -> 会员设置 -> 是否开启会员功能 改为(否)
方案三:若贵站不需要会员功能,可考虑直接重命名或删除存在漏洞的文件 /member/ajax_membergroup.php,最暴力却最有效的方式。
注明:本文给出的临时补丁仅供临时防御,对系统造成轻微影响尚未进行系统测试,具体补丁等需等待官方补丁。
更新:
目前织梦CMS已发布安全补丁,请关注官网:http://www.dedecms.com/
最新 DEDECMS SQL 注入 0day
标签:
本文系统来源:http://www.cnblogs.com/52php/p/5658157.html
内容总结
以上是互联网集市为您收集整理的最新 DEDECMS SQL 注入 0day全部内容,希望文章能够帮你解决最新 DEDECMS SQL 注入 0day所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。