女神猫女王

代理加盟 2020全新代理計劃 賺錢+省錢雙管齊下,獨立平臺,豐厚利潤!

您現在的位置: 秀站網 > 網站公告 >

2013.01.21 DedeCMS曝高危漏洞修復

來源:本站原創 發布時間:2013-01-23 09:36:00熱度:我要評論(0

免費下載,無需注冊無需充值

第三方漏洞報告平臺烏云最新曝光DedeCMS(織夢)建站系統SQL注入漏洞(http://zone.wooyun.org/content/2414)。攻擊者可以借此漏洞實施攻擊,直接竊取服務器數據。據360網站安全檢測對注冊用戶的分析發現,半數以上使用DedeCMS系統的網站受到該漏洞威脅,建議站長盡快安裝織夢官方補丁。

DedeCMS在國內應用廣泛,是目前最流行的建站系統之一。本次曝光的漏洞已經影響網易、萬網、人人、CSDN以及織夢官方演示站點等眾多知名網站,還有大批中小網站同樣存在漏洞風險,廣大站長應予以高度重視。

2013.01.21 DedeCMS曝高危漏洞修復
圖1:前面通過is_numeric判斷

據360安全工程師分析,DedeCMS最新曝光的SQL注入漏洞存在于/plus/search.php中,其中的$typeid變量被二次覆蓋導致前面的判斷失效,從而產生漏洞。而且,包括GBK版本和UTF-8版本的DedeCMS V5.7均存在這一漏洞。

2013.01.21 DedeCMS曝高危漏洞修復
圖2:直接覆蓋$typeid的值,導致SQL注入漏洞產生

2013.01.21 DedeCMS曝高危漏洞修復
圖3:攻擊者能直接利用該漏洞直獲取網站數據庫信息(demo)

目前,織夢DedeCMS官網已經發布補丁程序,360網站安全檢測平臺第一時間向注冊用戶群發了告警郵件,提醒用戶盡快打補丁,防止黑客拖庫攻擊。同時,360網站工程師建議網站管理員及個人站長使用360網站安全檢測平臺對網站進行全面體檢,掌握網站安全狀況,并使用360網站衛士防御黑客攻擊。

織夢官方補丁程序下載地址:

http://updatenew.dedecms.com/base-v57/package/patch-v57&v57sp1-20130115.zip

轉載請注明來源網址:http://www.qksux.club/announce/183.html

    相關閱讀

    發表評論

    評論列表(條)

      女神猫女王 3679579127958046489742896619309131601233736661586866196872618016976598811044263200653206370761186 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();