您好,欢迎来到菜鸟吧源码网(www.cniao8.com)本站只做精品网站源码!
  • 首 页
  • 会员介绍
  •  

    当前位置:主页 > 站长学堂 > dede教程 >
    织梦dedecms安全漏洞之/include/common.inc.php漏洞解决办法
    时间:2020-07-22 22:16 作者:菜鸟吧 浏览:收藏 挑错 打印

    1.受影响版本DEDECMS 5.7、5.6、5.5。 2.漏洞文件/include/common.inc.php 3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。
    描述:
    目标存在全局变量覆盖漏洞。
    1.受影响版本DEDECMS 5.7、5.6、5.5。
    2.漏洞文件/include/common.inc.php
    3.DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量。
    危害:
    1.黑客可以通过此漏洞来重定义数据库连接。
    2.通过此漏洞进行各种越权操作构造漏洞直接写入webshell后门。
    临时解决方案:
    在 /include/common.inc.php  中
    找到注册变量的代码

    复制代码

    foreach(Array('_GET','_POST','_COOKIE') as $_request) { foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v); }
    修改为

    复制代码
    foreach(Array('_GET','_POST','_COOKIE') as $_request) { foreach($$_request as $_k => $_v) { if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){ exit('Request var not allow!'); } ${$_k} = _RunMagicQuotes($_v); } }

    郑重声明:
    本站所有内容均由互联网收集整理、网友上传,并且以计算机技术研究交流为目的,仅供大家参考、学习,不存在任何商业目的与商业用途。 若您需要商业运营或用于其他商业活动,请您购买正版授权并合法使用。
    我们不承担任何技术及版权问题,且不对任何资源负法律责任。
    如无法下载,联系站长索要。
    如有侵犯您的版权,请给我们来信:admin@cniao8.com,我们尽快处理。

    DEDECMS批量导入excel数据到后台文章系统的开发教程DEDECMS批量导入excel数据到后台文章系
    织梦中TAG标签字数长度限制解决方法织梦中TAG标签字数长度限制解决方法
    织梦系统安装在二级目录文件夹内设置织梦系统安装在二级目录文件夹内设置