360提示DedeCms全局变量覆盖漏洞

360提示DedeCms全局变量覆盖漏洞(临时解决方法)

总体目标中存在DedeCms全局变量覆盖漏洞。建议升级新版本。这里有一个临时的解决方案。

叙述：总体目标存有全局变量覆盖漏洞。

1.受影响版本DEDECMS5.7、5.6、5.5。
2.漏洞文档/include/common.inc.php
3.DEDECMS的全局变量复位存有漏洞，能够任意覆盖任意全局变量。

伤害：
1.网络黑客能够根据此漏洞来重界定连接数据库。
2.根据此漏洞开展各种各样滥用权力实际 *** 作结构漏洞立即载入webshell侧门。
解决方法：
临时性解决方法：

在/include/common.inc.php中
寻找申请注册自变量的编码

复制代码编码以下:
foreach(Array('_GET','_POST','_COOKIE')as$_request)
{
foreach($$_requestas$_k=>$_v)${$_k}=_RunMagicQuotes($_v);
}

改动为

复制代码编码以下:
foreach(Array('_GET','_POST','_COOKIE')as$_request)
{
foreach($$_requestas$_k=>$_v){
if(strlen($_k)>0&&eregi('^(cfg_|GLOBALS)',$_k)){
exit('Requestvarnotallow!');
}
${$_k}=_RunMagicQuotes($_v);
}
}