右側
專注織夢dede網站插件下載、網站模板、二次開發
當前位置:網站首頁 > 織夢安全 > 正文

阿里云服務器提示 dedecms cookies泄漏導致SQL漏洞 article_add.

作者:admin發布時間:2020-12-23分類:織夢安全瀏覽:285評論:0


導讀:漏洞名稱:dedecmscookies泄漏導致SQL漏洞補丁文件:/member/article_add.php補丁來源:云盾自研漏洞描述:dedecms的文章發表表單中泄漏了用...


漏洞名稱:dedecms cookies泄漏導致SQL漏洞

補丁文件:/member/article_add.php

補丁來源:云盾自研

漏洞描述:dedecms的文章發表表單中泄漏了用于防御CSRF的核心cookie,同時在其他核心支付系統也使用了同樣的cookie進行驗證,黑客可利用泄漏的cookie通過后臺驗證,進行后臺注入。

解決方法:

 

搜索代碼:

if (empty($dede_fieldshash) || $dede_fieldshash != md5($dede_addonfields.$cfg_cookie_encode))

  【大概83行】

修改為以下代碼:

if (empty($dede_fieldshash) || ( $dede_fieldshash != md5($dede_addonfields . $cfg_cookie_encode) && $dede_fieldshash != md5($dede_addonfields . 'anythingelse' . $cfg_cookie_encode)) )

 



歡迎 發表評論:

  • 請填寫驗證碼
人妻中出av中文字幕首页