QQ咨询 官方微信

添加微信好友

官方小程序

百度小程序

微信小程序

头条小程序

关于我们

互联网

DedeCMS曝SQL注入漏洞 360提醒站长速打补丁

 admin  2013-06-20 08:53:00

 近日,知名第三方漏洞报告平台乌云曝光建站工具DedeCMS系统反馈页面存在SQL注入高危漏洞(http://www.wooyun.org/bugs/wooyun-2012-014076),攻击者可以轻易获取网站管理员密码,网站数据面临“拖库”威胁。经360网站安全检测(WebScan)对注册用户的分析研究发现,86%使用DedeCMS的网站存在该漏洞,危害范围十分广泛。

据了解,DedeCMS(织梦内容管理系统)是国内知名的PHP类CMS系统,在站长圈内应用广泛,用户涉及企事业单位、政府机关、教育、媒体、IT及互联网等多个行业,青年文摘、盐城国土资源部门网站都是用DedeCMS搭建。

据360网站安全检测分析,造成DedeCMS漏洞的原因在于其plusfeedback.php中的变量$typeid,由于未对参数进行初始化检测,从而导致SQL注入漏洞的产生。

 

DedeCMS曝SQL注入漏洞 360提醒站长速打补丁

图1:feedback.php中过滤不严导致漏洞

360安全专家表示,攻击者通过提交回复,无需审核即可发表回复,并执行恶意语句,窃取管理员的账号和密码,后只需进行MD5解密便可得到明文密码。经验证,有些网站虽然没有启用会员模块,但依旧存在feedback页面,这导致在允许游客评论的状态下,SQL漏洞就可以被利用;而即便禁止游客评论,也可能面临安全风险。

 

DedeCMS曝SQL注入漏洞 360提醒站长速打补丁

图2:实施SQL注入攻击后,可获得管理员账号密码

   目前,DedeCMSV5.7以下版本都受该漏洞影响,DedeCMS官方已提供下载补丁进行修复(http://bbs.dedecms.com/551651.html),但补丁推出一段时间来,360网站安全检测发现仍有大量网站并未重视。对此,360网站安全检测平台已向旗下用户发送警告邮件,建议广大站长及管理员尽快下载官方补丁进行修复,并使用360网站安全检测和360网站卫士,保护网站安全。

¥ 打赏
×
如果您觉得文章帮助了您就打赏一下吧
非常感谢你的打赏,我们将继续分享更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

本文《DedeCMS曝SQL注入漏洞 360提醒站长速打补丁》发布于石头博客文章,作者:admin,如若转载,请注明出处:https://www.pweb123.com/news/hulw/12.html,否则禁止转载,谢谢配合!

文章点评

我来说两句 已有0条评论
点击图片更换

添加微信好友

添加微信好友

微信小程序

百度小程序