总体目标中存在DedeCms全局变量覆盖漏洞。建议升级新版本。这里有一个临时的解决方案。
叙述:总体目标存有全局变量覆盖漏洞。1.受影响版本DEDECMS5.7、5.6、5.5。
2.漏洞文档/include/common.inc.php
3.DEDECMS的全局变量复位存有漏洞,能够任意覆盖任意全局变量。
伤害:
1.网络黑客能够根据此漏洞来重界定连接数据库。
2.根据此漏洞开展各种各样滥用权力实际 *** 作结构漏洞立即载入webshell侧门。
解决方法:
临时性解决方法:
在/include/common.inc.php中
寻找申请注册自变量的编码
复制代码编码以下:
foreach(Array('_GET','_POST','_COOKIE')as$_request)
{
foreach($$_requestas$_k=>$_v)${$_k}=_RunMagicQuotes($_v);
}
改动为
复制代码编码以下:
foreach(Array('_GET','_POST','_COOKIE')as$_request)
{
foreach($$_requestas$_k=>$_v){
if(strlen($_k)>0&&eregi('^(cfg_|GLOBALS)',$_k)){
exit('Requestvarnotallow!');
}
${$_k}=_RunMagicQuotes($_v);
}
}
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)