站长之家 - 站长资讯 - 易采站长站

当前位置: > 建站教程 > 源码教程 > CMS 教程 >

DedeCMS零日威胁来袭 SCANV发布红色警报-DedeCms教程

2019-10-12 11:36 | 来源:易采站长站 | 编辑:admin |

 近日,一名ID为“imspider”的漏洞研究者在网络安全社区t00ls论坛发布了DedeCMS的“任意密码重置”漏洞,经知道创宇SCANV网站安全研究人员确认,该漏洞属于“高危”级别漏洞,可以直接“秒杀”网站服务器,获取CMS管理员权限。

    2004年至今,DedeCMS已占领了国内CMS的大部份市场,有超过35万个站点正在使用DedeCMS或基于DedeCMS核心开发,产品安装量达到95万。是目前国内最常见的建站程序之一,也是“黑客”密切关注的对象。

    自2013年3月份开始,SCANV网站安全中心几乎每周都能发现DedeCMS的漏洞信息,且其中大多都是SQL注入、文件上传、密码篡改等致命漏洞,每个都能导致网站遭受“挂马”、“脱裤”的威胁……

    截至到本文发布为止,官方还没有对此发布任何修复补丁。目前SCANV网站安全中心已积极联系DedeCMS官方,请站长密切关注相关动态。

    针对该漏洞SCANV网站安全中心也推出了临时解决方案,建议广大DedeCMS站长立即采用。

    临时解决方案:

    打开文件/include/dedesql.class.php及/include/dedesqli.class.php

    找到如下代码:

    if(isset($GLOBALS['arrs1']))

    {

    $v1 = $v2 = '';

    for($i=0;isset($arrs1[$i]);$i++)

    {

    $v1 .= chr($arrs1[$i]);

    }

    for($i=0;isset($arrs2[$i]);$i++)

    {

    $v2 .= chr($arrs2[$i]);

    }

    $GLOBALS[$v1] .= $v2;

    }

    修改为:

    $GLOBALS['arrs1']=array();//fixedbyknownsec.com 2013.06.07

    if(isset($GLOBALS['arrs1']))

    {

    $v1 = $v2 = '';

    for($i=0;isset($arrs1[$i]);$i++)

    {

    $v1 .= chr($arrs1[$i]);

    }

    for($i=0;isset($arrs2[$i]);$i++)

    {

    $v2 .= chr($arrs2[$i]);

    }

    $GLOBALS[$v1] .= $v2;
 }

    [注:此为临时性解决方案。如有任何问题,请登陆http://bbs.jiasule.com/forum.php进行交流]

    关于SCANV网站安全中心及知道创宇

    “SCANV网站安全中心”(http://www.scanv.com),由知道创宇安全研究团队驱动,专注网站安全一体化解决方案,给站长朋友们提供网站漏洞诊断、漏洞预警、被黑预警,并提供多维度的安全解决方案、专家一对一漏洞修复、一键云端防御等。

    “知道创宇”(http://www.knownsec.com)全称为北京知道创宇信息技术有限公司。是国内最早提出网站安全云监测及云防御的高新企业,始终致力于为客户提供基于云技术支撑的下一代Web安全解决方案。知道创宇总部设在北京,在香港、上海、广州、成都设有分公司,客户及合作伙伴来自中国、美国、日本、韩国等。凭借强大的云安全技术与产品的高可用性、易管理性、合规性和业务连续性、以及动态保障关键Web数据资产安全的能力,帮助用户应对变化多端的互联网安全威胁,赢得了企业、政府与公共机构的青睐。知道创宇安全实验室在零日安全威胁与云安全技术方面的研究得到了业内的广泛认同并享有极高知名度。

软件名称:
DedeCms (织梦CMS)内容管理系统下载
软件语言:
简体/繁体中文
软件授权:
个人免费

  • dedecms中首页调用专题的方法(5.1-5.7)-DedeCms教程
  • DedeCms后台登录一片空白的解决方法-DedeCms教程
  • dedecms友情链接标签flink使用说明及实例代码-DedeCms教程
  • DedeCMS文章列表每5隔行加横线的实现方法-DedeCms教程
  • dedecms5.7 通过替换文件升级后 所有档案列表为空的解决方法-DedeCms教程
  • dedecms友情链接中去掉织梦链投放修改方法-DedeCms教程
  • dedecms 后台假死问题解决方法-DedeCms教程
  • DEDECMS 留言薄模块的使用方法-DedeCms教程
  • 用数据库批量修改替换dedecms文章标题和内容的步骤分享[图文]-DedeCms教程
  • dedecms5.7 文章不能发布问题探讨及解决方法-DedeCms教程
  • 网友评论

    关于我们 - 联系我们 - 广告服务 - 版权声明 - 人才招聘 - 友情链接 - 网站地图 - 帮助 - -

    CopyRight © 2010-2016 源码下载 easck.com , All Rights Reserved

    蒙公网安备 15052402000103号

    蒙ICP备14002389-1号