dedecms5.7最新漏洞修复

  • PHP二次开发网
  • 2013-9-7 14:50
  • PHP二次开发网
  • 阅读(6454)
  • 评论(0)
  • 摘要: 最近发现织梦cms被挂马现象频繁,解决好好几个网站的问题,但是过不了多久,就又被攻击了,即使更改系统及ftp密码,也没有起到防御的作用,最后怀疑cms本身漏洞,于是采用工具扫描了一下,才发现问题的严重性,在这 ...
    最近发现织梦cms被挂马现象频繁,解决好好几个网站的问题,但是过不了多久,就又被攻击了,即使更改系统及ftp密码,也没有起到防御的作用,最后怀疑cms本身漏洞,于是采用工具扫描了一下,才发现问题的严重性,在这里发一下解决办法,也希望采用织梦cms的童鞋,尽快升级补丁。

    1.修复:[高危]DedeCMS最新SQL注入漏洞

    修复方法:1)下载补丁:http://updatenew.dedecms.com/base-v57/package/patch-v57&v57sp1-20130607.zip

    2)将下载的include/dedesql.class.php替换网站目录下的原始文件。

    2.修复:[高危]DedeCMS Dialog目录下配置文件XSS漏洞

    修复方法:
    定位到include/dialog/config.php文件,
    在$gurl = "../../{$adminDirHand}/login.php?gotopage=".urlencode($dedeNowurl);上面添加如下语句:
    $adminDirHand = HtmlReplace($adminDirHand, 1); 

    3.修复:[高危]DedeCMS样式分享XSS漏洞

    修复方法: plus目录下的bshare.php文件117行 $uuid = isset($uuid)? $uuid : '';改成 $uuid = isset($uuid)? htmlspecialchars($uuid) : '';

    4.修复:[高危]Dedecms最新变量覆盖漏洞

    修复方法:

    在 /include/common.inc.php中找到如下代码

    CheckRequest($_REQUEST);

    在下面添加

    CheckRequest($_COOKIE);


    以上漏洞修复建议来自360网站安全监测:http://webscan.360.cn。

    另外建议使用织梦程序的用户,要经常借助工具,扫描系统漏洞。等被攻击了就悔之晚矣!



    PHP技术交流QQ群:422137578

    除非注明,文章均为 PHP二次开发 原创,转载请注明本文地址:http://www.php2.cc/article-877-1.html

    相关阅读

    最新评论

    用户名:  *

    邮 箱:  *

    网 址: 注意加上“http://”哦!