dedecms修改任意管理员漏洞l临时解决方案
发布:zhubinbin | 发布时间: 2013年7月1日近日,一名ID为“imspider”的漏洞研究者在网络安全社区t00ls论坛发布了DedeCMS的“任意密码重置”漏洞,经知道创宇SCANV网站安全研究人员确认,该漏洞属于“高危”级别漏洞,可以直接“秒杀”网站服务器,获取CMS管理员权限。
2004年至今,DedeCMS已占领了国内CMS的大部份市场,有超过35万个站点正在使用DedeCMS或基于DedeCMS核心开发,产品安装量达到95万。是目前国内最常见的建站程序之一,也是“黑客”密切关注的对象。
自2013年3月份开始,SCANV网站安全中心几乎每周都能发现DedeCMS的漏洞信息,且其中大多都是SQL注入、文件上传、密码篡改等致命漏洞,每个都能导致网站遭受“挂马”、“脱裤”的威胁……
截至到本文发布为止,官方还没有对此发布任何修复补丁。目前SCANV网站安全中心已积极联系DedeCMS官方,请站长密切关注相关动态。
针对该漏洞SCANV网站安全中心也推出了临时解决方案,建议广大DedeCMS站长立即采用。
临时解决方案:
打开文件/include/dedesql.class.php及/include/dedesqli.class.php
找到如下代码:
if(isset($GLOBALS['arrs1']))
{
$v1 = $v2 = '';
for($i=0;isset($arrs1[$i]);$i++)
{
$v1 .= chr($arrs1[$i]);
}
for($i=0;isset($arrs2[$i]);$i++)
{
$v2 .= chr($arrs2[$i]);
}
$GLOBALS[$v1] .= $v2;
}
修改为:
$GLOBALS['arrs1']=array();//fixedbyknownsec.com 2013.06.07
if(isset($GLOBALS['arrs1']))
{
$v1 = $v2 = '';
for($i=0;isset($arrs1[$i]);$i++)
{
$v1 .= chr($arrs1[$i]);
}
for($i=0;isset($arrs2[$i]);$i++)
{
$v2 .= chr($arrs2[$i]);
}
$GLOBALS[$v1] .= $v2;
}
[注:此为临时性解决方案。如有任何问题,请进行交流]
- 相关文章:
dedecms最新版本修改任意管理员漏洞 (2013-7-1 21:43:26)
power by dedecms怎么去掉 (2013-7-1 19:48:17)
为了成为站长,你付出了多少努力?? (2013-6-14 23:38:56)
百度的“高质量”到底是什么 (2013-6-13 21:19:14)
为了成为站长你做了多少努力? (2013-6-10 9:3:44)
网站不赢利,你会不会坚持? (2013-6-9 23:15:47)
PW8.5最新完整IIS静态规则(支持广场.门户.资讯) (2013-6-8 23:3:14)
承接建站推广网站优化单子 (2013-5-25 18:0:15)
百度百科功能更新的好处与坏处 (2013-4-24 22:43:49)
DedeCms的SEO优化全攻略 (2013-4-17 21:28:55)
- 1.济南广搜
- http://www.guangsou.cc
- 聊城博克告诉您:什么是动平衡 http://www.lcboke.com/news/63.html
- 2014-5-30 13:41:31 回复该留言
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。