dedecms注入漏洞评论标题(0day漏洞)

scanv网站安全平台发布信息,dedecms出现0day漏洞,通过该漏洞可以注入恶意代码到评论标题里,网站管理员在后台管理用户评论时触发恶意代码,直接危及到网站服务器安全,最终导致网站被“脱裤”、“挂马”、“非法seo”等危害.

临时解决方案

一、打开文件/plus/feedback_ajax.php 搜索并找到代码：

$arctitle = addslashes($title);

修改为:

$arctitle = addslashes(HtmlReplace($title));

二、在dedecms后台目录（默认目录为/dede/）下，打开子目录/templets/下找到文件：feedback_main.htm 和 feedback_edit.htm 做如下修改：

1、打开文件feedback_main.htm 搜索并找到代码：

{dede:field.arctitle/}

修改为:

{dede:field.arctitle function=HtmlReplace(@me)/}

2、打开文件feedback_edit.htm 搜索并找到代码：

<?php echo $row['arctitle']; ?>

修改为:

<?php echo HtmlReplace($row['arctitle']); ?>

·dedecms漏洞防护(2013-11-15)
·DedeCMS Error: (PHP 5.3 and above) Please set request_or (2013-11-15)
·dedecms文章内容页中的收藏功能收藏的文章路径错误问题解决(2013-11-15)
·给织梦DedeCMS文章标题增加自动加长尾关键词的方法(2013-11-15)
·dedecms列表页上一页下一页翻页单独调用(2013-11-15)
·dedecms php.ini register_globals must is Off(2013-11-28)
·dedecms 问答系统如何取消积分与用户登陆验证(2013-11-28)
·dedecms上传图片文件时提示 Upload filetype not allow(2013-12-04)
·DedeCMS图集中缩略图不能显示的解决方法(2014-01-09)
·安装dedecms:Call to undefined function get_magic_quotes_gpc()(2014-01-09)
·Dedecms怎么在首页调用最新评论(2014-01-09)
·dedecms自定义模型之独立模型在首页、列表页、内容调用内容(2014-03-11)
·织梦DedeCMS子目录移动到根目录的方法(2014-03-11)
·DEDECMS织梦短标题标签调用与字数修改方法(2014-03-11)
·织梦DedeCMS列表摘要 description 长度控制方法(2014-03-11)
·dedecms5.6,5.7去掉系统默认的友情链接链(2014-03-11)

相关文章