-->

您现在的位置: 首页 > 教程文档 > 常见问题 >

织梦dedecms 漏洞"imspider"临时处理方法

来源:未知 发布时间:2017-11-08热度:
在使用我们比较老的织梦模板出现 零日漏洞"imspider"的临时解决方案。近日,一名ID为imspider的漏洞研究者在网络安全社区t00ls论坛发布了DedeCMS的任意密码重置漏洞,经知道创宇SCANV网站安全研究人员确认,该漏洞属于高危级别漏洞,可以直接秒杀网站服务...

在使用我们比较老的织梦模板出现 零日漏洞"imspider"的临时解决方案。近日,一名ID为“imspider”的漏洞研究者在网络安全社区t00ls论坛发布了DedeCMS的“任意密码重置”漏洞,经知道创宇SCANV网站安全研究人员确认,该漏洞属于“高危”级别漏洞,可以直接“秒杀”网站服务器,获取CMS管理员权限。

截至到本文发布为止,官方还没有对此发布任何修复补丁。下面是针对该漏洞的临时解决方案:

打开文件/include/dedesql.class.php及/include/dedesqli.class.php,找到如下代码:

 if(isset($GLOBALS['arrs1']))

{

    $v1 = $v2 = '';

    for($i=0;isset($arrs1[$i]);$i++)

    {

        $v1 .= chr($arrs1[$i]);

    }

    for($i=0;isset($arrs2[$i]);$i++)

    {

        $v2 .= chr($arrs2[$i]);

    }

    $GLOBALS[$v1] .= $v2;

}

 

 

修改为:

    

 $GLOBALS['arrs1']=array(); //fixed by knownsec.com 2013.06.07

 

if(isset($GLOBALS['arrs1']))

{

    $v1 = $v2 = '';

    for($i=0;isset($arrs1[$i]);$i++)

    {

        $v1 .= chr($arrs1[$i]);

    }

    for($i=0;isset($arrs2[$i]);$i++)

    {

        $v2 .= chr($arrs2[$i]);

    }

    $GLOBALS[$v1] .= $v2;

}

 

责任编辑:好织梦

温馨提示

大家好,由于业务调整,本站的会员及支付购买等功能不能使用,本站织梦会员可以移步织梦58(http://www.dede58.com/)继续使用

其他建站朋友强烈推荐优秀的建站系统(易优CMS),建站简单、安全、易用,更有丰富的插件扩展!

如有其他问题可以联系客服(QQ:970003436)沟通,谢谢大家支持!!

关注易优CMS公众号,获取更多建站资讯