当前位置:首页 > CMS教程 > DeDecms > 列表

dedecms注入漏洞评论标题(0day漏洞)

发布:smiling 来源: PHP粉丝网  添加日期:2014-03-16 21:35:03 浏览: 评论:0 

scanv网站安全平台发布信息,dedecms出现0day漏洞,通过该漏洞可以注入恶意代码到评论标题里,网站管理员在后台管理用户评论时触发恶意代码,直接危及到网站服务器安全,最终导致网站被“脱裤”、“挂马”、“非法seo”等危害.

临时解决方案

一、打开文件/plus/feedback_ajax.php 搜索并找到代码:

$arctitle = addslashes($title);

修改为:

$arctitle = addslashes(HtmlReplace($title));

二、在dedecms后台目录(默认目录为/dede/)下,打开子目录/templets/下找到文件:feedback_main.htm 和 feedback_edit.htm 做如下修改:

1、打开文件feedback_main.htm 搜索并找到代码:

{dede:field.arctitle/}

修改为:

{dede:field.arctitle function=HtmlReplace(@me)/}

2、打开文件feedback_edit.htm 搜索并找到代码:

<?php echo $row['arctitle']; ?>

修改为:

<?php echo HtmlReplace($row['arctitle']); ?>

Tags: dedecms 注入漏洞 评论标题

分享到: