您现在的位置是:首页 > cms教程 > DedeCMS教程DedeCMS教程
dedecms的SQL注入0day漏洞修复教程
雪柳2023-09-25DedeCMS教程已有人查阅
导读4月29日消息:国内安全研究团队“知道创宇”称截获到较新DEDECMS SQL注入0day,DEDECMS官网目前提供下载的较新版
4月29日消息:国内安全研究团队“知道创宇”称截获到较新DEDECMS SQL注入0day,DEDECMS官网目前提供下载的较新版5.7也受影响,截止本告警发出时官方尚未给出补丁或解决方案,此漏洞利用简单且dedecms安装之后默认即开启漏洞模块。
知道创宇给出三种临时解决方案:
方案一、临时补丁,需要四步
1. 确保您的magic_quotes_gpc = On
详细开启方式:打开php安装目录中的php.ini(若您使用的是appserv等集成环境,php.ini可能在系统盘符:\windows\php.ini),搜索magic_quotes_gpc,将其设置为On。
2./plus/carbuyaction.php 22行附近即
系统 -> 系统基本参数 -> 会员设置 -> 是否开启会员功能 改为(否)
方案三、若贵站不需要会员功能,可考虑直接重命名或删除存在漏洞的文件 /member/ajax_membergroup.php,最 却有效的方式。
注明:本文给出的临时补丁仅供临时防御,对系统造成轻微影响尚未进行系统测试,具体补丁等需等待官方补丁。
知道创宇给出三种临时解决方案:
方案一、临时补丁,需要四步
1. 确保您的magic_quotes_gpc = On
详细开启方式:打开php安装目录中的php.ini(若您使用的是appserv等集成环境,php.ini可能在系统盘符:\windows\php.ini),搜索magic_quotes_gpc,将其设置为On。
2./plus/carbuyaction.php 22行附近即
if($cfg_mb_open == 'N') { ShowMsg("系统关闭了会员功能,因此你无法访问此页面!","javascript:;"); exit(); }
下面添加一行代码
$rs =array();
3.在 member/ajax_membergroup.php 33行附近即
if(empty($membergroup)){ echo "您还没有设置分组!"; exit; }
下面加入如下代码:
if(strpos($membergroup,"'")){ echo "SQL注入防护临时补丁,知道创宇安全团队提醒您关注官方补丁!"; exit; }
4.原member/ajax_membergroup.php 36 行附近的
$row = $dsql->GetOne("SELECT groupname FROM ddmx_member_group WHERE mid = {$cfg_ml->M_ID} AND id={$membergroup}");
修改为
$row = $dsql->GetOne("SELECT groupname FROM ddmx_member_group WHERE mid = {$cfg_ml->M_ID} AND id='{$membergroup}'");
方案二、以网站管理员身份后台禁用会员功能系统 -> 系统基本参数 -> 会员设置 -> 是否开启会员功能 改为(否)
方案三、若贵站不需要会员功能,可考虑直接重命名或删除存在漏洞的文件 /member/ajax_membergroup.php,最 却有效的方式。
注明:本文给出的临时补丁仅供临时防御,对系统造成轻微影响尚未进行系统测试,具体补丁等需等待官方补丁。
感谢您的认可和支持
微信
支付宝
本文标签:
很赞哦! ()
相关教程
- PHPCMS和织梦DEDECMS对比分析
- cms基本概念dedecms,phpcms介绍
- DedeCMS, Discuz, Phpwind, PhpCMS配置安全设置方法
- phpcms和dedecms工作区别
- 帝国cms、dedecms、phpcms等负载测试
- dedecms、php168,phpcms、VeryCMS、DiyPage五款开源cms系统点评
- phpcms和dedecms有哪些区别不同
- dedecms织梦发布内容网站为空白的原因有哪些
- dedecms织梦程序安装后无法修改栏目的解决方法
- 织梦dedecms上传图片默认路径怎么修改
- 用dedecms织梦程序做中英双语网站制作方法
- 织梦dedecms首页幻灯片不显示的原因和解决办法
图文教程
织梦cms模板中的title标签怎么显示完整标题title的方法
通常我们在做织梦模板时都会为标题设置titlelen或者直接来截取了标题长度,然后又希望在鼠标移动到标题的时候,能显示完整的织梦标题,我们以为使用下面的代码就可以完成:
dedecms织梦模板文件不存在无法解析文档的原因及解决方法
模板文件不存在 无法解析文档的原因之一 从昨天晚上到今天,我纠结于一个自定义模型的文章页模板问题。总是“ 模板文件不存在 无法解析文件”,试过网上所有的方法都没有解决
织梦dede评论列表怎么调用
织梦评论列表调用的方法其实很简单,织梦默认模板中就有调用评论列表的代码,在织梦默认模板的互动中心中就有评论的列表
织梦dedecms标签不能嵌套的解决方法实例教程
当运行的时候,发现{dede:global.user_lang/}居然原封不动的被展示了出来而未被解析,我很纳闷,于是去网上搜了有关DEDECMS不能嵌套标签的解决办法,最后找出了两种解决方案。
相关源码
-
(自适应)工业机械设备产品介绍免费pbootcms源码下载本网站模板基于PbootCMS内核精心开发,为机械设备与工业产品制造企业量身打造。设计充分考量行业特性,突出产品展示与技术实力呈现查看源码 -
(自适应响应式)WORDwps办公资源教程资讯网站模板下载基于PbootCMS内核开发的响应式网站模板,为办公教程、WPS技巧分享、职场技能培训等场景打造。模板内置标准化文档分类体系,支持图文/视频教程混合展示,满足现代办公知识传播需求。查看源码 -
(自适应)大气办公用品耗材供应打印机产品维修网站模板下载基于PbootCMS系统开发的响应式网站模板,为营销技术博主、数字产品评测者设计。采用前沿的响应式技术,确保内容在手机端和桌面端都能获得较佳阅读体验,帮助用户高效展示技术文章和产品分析。查看源码 -
快递物流公司pbootcms网站模板html响应式自适应源码下载基于HTML5+CSS3前沿技术开发,实现PC、平板、手机多端自适应。采用弹性布局与媒体查询技术,确保不同设备均有流畅视觉体验,企业形象统一。查看源码 -
(自适应)英文电子芯片电子元件网站pbootcms模板下载基于PbootCMS内核开发的电子元件类企业专用模板,采用响应式设计技术,适配电子元器件、集成电路、半导体等行业的品牌展示与技术文档发布需求。前端布局针对芯片参数表格与产品规格书展示进行深度优化。查看源码 -
WordPress主题模板JustNews资讯博客类源码V5.2.2JustNews主题针对博客创作、自媒体运营及资讯发布类网站的需求而设计,提供专业的内容展示与管理方案。该主题集成前端用户中心功能,支持用户在前端界面发布和投稿文章,操作流程简洁高效。查看源码
| 分享笔记 (共有 篇笔记) |
