DedeCMS零日漏洞"imspider"的临时解决方案
已有人收藏发布时间:2018-07-22 22:26 来源:www.dedejc.com 作者:织梦教程网
DedeCMS零日漏洞"imspider"的临时解决方案。近日,一名ID为“imspider”的漏洞研究者在网络安全社区t00ls论坛发布了DedeCMS的“任意密码重置”漏洞,经知道创宇SCANV网站安全研究人员确认,该漏洞属于“高危”级别漏洞,可以直接“秒杀”网站服务器,获取CMS管理员权限。
截至到本文发布为止,官方还没有对此发布任何修复补丁。下面是针对该漏洞的临时解决方案:
打开文件/include/dedesql.class.php及/include/dedesqli.class.php,找到如下代码:
if(isset($GLOBALS['arrs1']))
{
$v1 = $v2 = '';
for($i=0;isset($arrs1[$i]);$i++)
{
$v1 .= chr($arrs1[$i]);
}
for($i=0;isset($arrs2[$i]);$i++)
{
$v2 .= chr($arrs2[$i]);
}
$GLOBALS[$v1] .= $v2;
}
修改为:
$GLOBALS['arrs1']=array(); //fixed by knownsec.com 2013.06.07
if(isset($GLOBALS['arrs1']))
{
$v1 = $v2 = '';
for($i=0;isset($arrs1[$i]);$i++)
{
$v1 .= chr($arrs1[$i]);
}
for($i=0;isset($arrs2[$i]);$i++)
{
$v2 .= chr($arrs2[$i]);
}
$GLOBALS[$v1] .= $v2;
- 您可能会浏览到的其他关于织梦的内容....
