代理加盟 2020全新代理計劃 賺錢+省錢雙管齊下,獨立平臺,豐厚利潤!

您現在的位置: 秀站網 > 網站公告 >

2013.01.21 DedeCMS曝高危漏洞修復

來源:本站原創 發布時間:2013-01-23 09:36:00熱度:我要評論(0

織夢模板免費下載,無需注冊無需充值

第三方漏洞報告平臺烏云最新曝光DedeCMS(織夢)建站系統SQL注入漏洞(http://zone.wooyun.org/content/2414)。攻擊者可以借此漏洞實施攻擊,直接竊取服務器數據。據360網站安全檢測對注冊用戶的分析發現,半數以上使用DedeCMS系統的網站受到該漏洞威脅,建議站長盡快安裝織夢官方補丁。

DedeCMS在國內應用廣泛,是目前最流行的建站系統之一。本次曝光的漏洞已經影響網易、萬網、人人、CSDN以及織夢官方演示站點等眾多知名網站,還有大批中小網站同樣存在漏洞風險,廣大站長應予以高度重視。

2013.01.21 DedeCMS曝高危漏洞修復
圖1:前面通過is_numeric判斷

據360安全工程師分析,DedeCMS最新曝光的SQL注入漏洞存在于/plus/search.php中,其中的$typeid變量被二次覆蓋導致前面的判斷失效,從而產生漏洞。而且,包括GBK版本和UTF-8版本的DedeCMS V5.7均存在這一漏洞。

2013.01.21 DedeCMS曝高危漏洞修復
圖2:直接覆蓋$typeid的值,導致SQL注入漏洞產生

2013.01.21 DedeCMS曝高危漏洞修復
圖3:攻擊者能直接利用該漏洞直獲取網站數據庫信息(demo)

目前,織夢DedeCMS官網已經發布補丁程序,360網站安全檢測平臺第一時間向注冊用戶群發了告警郵件,提醒用戶盡快打補丁,防止黑客拖庫攻擊。同時,360網站工程師建議網站管理員及個人站長使用360網站安全檢測平臺對網站進行全面體檢,掌握網站安全狀況,并使用360網站衛士防御黑客攻擊。

織夢官方補丁程序下載地址:

http://updatenew.dedecms.com/base-v57/package/patch-v57&v57sp1-20130115.zip

轉載請注明來源網址:http://www.alolpiu.com.cn/announce/183.html

    相關閱讀

    發表評論

    評論列表(條)

      新时时彩中奖怎么查 蓝胜配资 股票配资平台都找天牛宝股票配资可信 五粮液股票行情 顺配宝 私募股权基金配资 百度金融理财平台 股票配资平台哪个好推荐九梦财富 掌柜配资 股权基金配资 铁牛配资 雨润a股 股票分析 大数据 证监会关于配资的规定 蒙发利与奥佳华 嘉盛配资 新华股票配资