dedecms注入漏洞评论标题(0day漏洞)
发布:smiling 来源: PHP粉丝网 添加日期:2014-03-16 21:35:03 浏览: 评论:0
scanv网站安全平台发布信息,dedecms出现0day漏洞,通过该漏洞可以注入恶意代码到评论标题里,网站管理员在后台管理用户评论时触发恶意代码,直接危及到网站服务器安全,最终导致网站被“脱裤”、“挂马”、“非法seo”等危害.
临时解决方案
一、打开文件/plus/feedback_ajax.php 搜索并找到代码:
$arctitle = addslashes($title);
修改为:
$arctitle = addslashes(HtmlReplace($title));
二、在dedecms后台目录(默认目录为/dede/)下,打开子目录/templets/下找到文件:feedback_main.htm 和 feedback_edit.htm 做如下修改:
1、打开文件feedback_main.htm 搜索并找到代码:
{dede:field.arctitle/}
修改为:
{dede:field.arctitle function=HtmlReplace(@me)/}
2、打开文件feedback_edit.htm 搜索并找到代码:
<?php echo $row['arctitle']; ?>
修改为:
<?php echo HtmlReplace($row['arctitle']); ?>
Tags: dedecms 注入漏洞 评论标题
相关文章
- ·dedecms漏洞防护(2013-11-15)
- ·DedeCMS Error: (PHP 5.3 and above) Please set request_or (2013-11-15)
- ·dedecms文章内容页中的收藏功能收藏的文章路径错误问题解决(2013-11-15)
- ·给织梦DedeCMS文章标题增加自动加长尾关键词的方法(2013-11-15)
- ·dedecms列表页上一页下一页翻页单独调用(2013-11-15)
- ·dedecms php.ini register_globals must is Off(2013-11-28)
- ·dedecms 问答系统如何取消积分与用户登陆验证(2013-11-28)
- ·dedecms上传图片文件时提示 Upload filetype not allow(2013-12-04)
- ·DedeCMS图集中缩略图不能显示的解决方法(2014-01-09)
- ·安装dedecms:Call to undefined function get_magic_quotes_gpc()(2014-01-09)
- ·Dedecms怎么在首页调用最新评论(2014-01-09)
- ·dedecms自定义模型之独立模型在首页、列表页、内容调用内容(2014-03-11)
- ·织梦DedeCMS子目录移动到根目录的方法(2014-03-11)
- ·DEDECMS织梦短标题标签调用与字数修改方法(2014-03-11)
- ·织梦DedeCMS列表摘要 description 长度控制方法(2014-03-11)
- ·dedecms5.6,5.7去掉系统默认的友情链接链(2014-03-11)
推荐文章
热门文章
最新评论文章
- 写给考虑创业的年轻程序员(10)
- PHP新手上路(一)(7)
- 惹恼程序员的十件事(5)
- PHP邮件发送例子,已测试成功(5)
- 致初学者:PHP比ASP优秀的七个理由(4)
- PHP会被淘汰吗?(4)
- PHP新手上路(四)(4)
- 如何去学习PHP?(2)
- 简单入门级php分页代码(2)
- php中邮箱email 电话等格式的验证(2)