安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > 网络安全 > 漏洞分享 > DEDECMS SQL注入0day

DEDECMS SQL注入0day

时间:2014-12-31来源: 作者:点击:
来自 北北的部落格 2012/4/29 凌晨 知道创宇安全研究团队 截获到最新DEDECMS SQL注入 0day,官网目前提供下载的最新版5.7也受影响,截止本告警发出时官方尚未给出补丁或解决方案,此漏洞利用简单且dedecms安装之后默认即开启漏洞模块

DEDECMS SQL注入0day

//内容来自安云网


//内容来自AnYun.ORG

来自北北的部落格

//内容来自AnYun.ORG

2012/4/29 凌晨 知道创宇安全研究团队截获到最新DEDECMS SQL注入 0day,官网目前提供下载的最新版5.7也受影响,截止本告警发出时官方尚未给出补丁或解决方案,此漏洞利用简单且dedecms安装之后默认即开启漏洞模块。 //内容来自AnYun.ORG

知道创宇给出三种临时解决方案: //内容来自安云网

方案一、临时补丁,需要四步

//本文来自安云网

1. 确保您的magic_quotes_gpc = On

//内容来自AnYun.ORG

详细开启方式:打开php安装目录中的php.ini(若您使用的是appserv等集成环境,php.ini可能在系统盘符:\windows\php.ini),搜索magic_quotes_gpc,将其设置为On。 //内容来自安云网

2.

//内容来自AnYun.ORG

/plus/carbuyaction.php 22行附近即 //内容来自AnYun.ORG

if($cfg_mb_open == 'N')
{
    ShowMsg("系统关闭了会员功能,因此你无法访问此页面!","javascript:;");
    exit();
} 

//内容来自安云网

下面添加一行代码 //本文来自安云网

$rs =array(); //本文来自安云网 

3.

//内容来自AnYun.ORG

在 member/ajax_membergroup.php 33行附近即 //内容来自安云网

if(empty($membergroup)){
    echo "您还没有设置分组!";
    exit;
} 
//本文来自安云网

下面加入如下代码: //内容来自AnYun.ORG

if(strpos($membergroup,"'")){
    echo "SQL注入防护临时补丁,知道创宇安全团队提醒您关注官方补丁!";
    exit;
} 

//内容来自AnYun.ORG

4.

//本文来自安云网

原member/ajax_membergroup.php 36 行附近的 //内容来自AnYun.ORG

$row = $dsql->GetOne("SELECT groupname FROM dede_member_group WHERE mid = {$cfg_ml->M_ID} AND id={$membergroup}"); //内容来自安云网 

修改为 //内容来自AnYun.ORG

$row = $dsql->GetOne("SELECT groupname FROM dede_member_group WHERE mid = {$cfg_ml->M_ID} AND id='{$membergroup}'"); 
//内容来自AnYun.ORG

方案二、以网站管理员身份后台禁用会员功能 //内容来自安云网

系统 -> 系统基本参数 -> 会员设置 -> 是否开启会员功能 改为(否)

//本文来自安云网

方案三、若贵站不需要会员功能,可考虑直接重命名或删除存在漏洞的文件 /member/ajax_membergroup.php,最暴力却最有效的方式。

//内容来自AnYun.ORG

本文给出的临时补丁仅供临时防御,对系统造成轻微影响尚未进行系统测试,目前我们已经通知织梦CMS官方,具体补丁等请等待官方补丁。 //本文来自安云网

关于我们: //内容来自安云网

知道创宇拥有一支国际一流的Web安全研究团队,能够实时跟踪最新Web安全技术及趋势。 //内容来自安云网

我们追求卓越的WEB安全技术,致力于为网站提供安全产品、SaaS(安全即服务)服务,让网站更安全,为中国互联网的信息安全贡献我们的一份力量。

//内容来自AnYun.ORG

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容