代理加盟

2023全新代理计划,一站式模板建站,铜牌代理低至699元送终身VIP,独立代理后台,自营贴牌。

您现在的位置: 麦站网 > 网站公告 >

2013.01.21 DedeCMS曝高危漏洞修复

来源:本站原创 发布时间:2013-01-23 09:36:00热度:我要评论(0

麦站模板建站平台(10年经验),服务数万家企业,固定透明报价。域名注册、主机/服务器、网站源码一站式服务。实体公司,专业团队,值得选择!超过1000套模板已登记版权,合规合法建站,规避版权风险!【点击获取方案】

第三方漏洞报告平台乌云最新曝光DedeCMS(织梦)建站系统SQL注入漏洞(http://zone.wooyun.org/content/2414)。攻击者可以借此漏洞实施攻击,直接窃取服务器数据。据360网站安全检测对注册用户的分析发现,半数以上使用DedeCMS系统的网站受到该漏洞威胁,建议站长尽快安装织梦官方补丁。

DedeCMS在国内应用广泛,是目前最流行的建站系统之一。本次曝光的漏洞已经影响网易、万网、人人、CSDN以及织梦官方演示站点等众多知名网站,还有大批中小网站同样存在漏洞风险,广大站长应予以高度重视。

2013.01.21 DedeCMS曝高危漏洞修复
图1:前面通过is_numeric判断

据360安全工程师分析,DedeCMS最新曝光的SQL注入漏洞存在于/plus/search.php中,其中的$typeid变量被二次覆盖导致前面的判断失效,从而产生漏洞。而且,包括GBK版本和UTF-8版本的DedeCMS V5.7均存在这一漏洞。

2013.01.21 DedeCMS曝高危漏洞修复
图2:直接覆盖$typeid的值,导致SQL注入漏洞产生

2013.01.21 DedeCMS曝高危漏洞修复
图3:攻击者能直接利用该漏洞直获取网站数据库信息(demo)

目前,织梦DedeCMS官网已经发布补丁程序,360网站安全检测平台第一时间向注册用户群发了告警邮件,提醒用户尽快打补丁,防止黑客拖库攻击。同时,360网站工程师建议网站管理员及个人站长使用360网站安全检测平台对网站进行全面体检,掌握网站安全状况,并使用360网站卫士防御黑客攻击。

织梦官方补丁程序下载地址:

http://updatenew.dedecms.com/base-v57/package/patch-v57&v57sp1-20130115.zip

    转载请注明来源网址:https://www.xiuzhanwang.com/announce/183.html

    发表评论

    评论列表(条)

       
      QQ在线咨询
      VIP限时特惠