您现在的位置是:首页 > 教程 > dedecms教程dedecms教程
dedecms的SQL注入0day漏洞修复教程
雪柳2023-09-25 12:30:46dedecms教程已有人查阅
导读4月29日消息:国内安全研究团队“知道创宇”称截获到较新DEDECMS SQL注入0day,DEDECMS官网目前提供下载的较新版
4月29日消息:国内安全研究团队“知道创宇”称截获到较新DEDECMS SQL注入0day,DEDECMS官网目前提供下载的较新版5.7也受影响,截止本告警发出时官方尚未给出补丁或解决方案,此漏洞利用简单且dedecms安装之后默认即开启漏洞模块。
知道创宇给出三种临时解决方案:
方案一、临时补丁,需要四步
1. 确保您的magic_quotes_gpc = On
详细开启方式:打开php安装目录中的php.ini(若您使用的是appserv等集成环境,php.ini可能在系统盘符:\windows\php.ini),搜索magic_quotes_gpc,将其设置为On。
2./plus/carbuyaction.php 22行附近即
系统 -> 系统基本参数 -> 会员设置 -> 是否开启会员功能 改为(否)
方案三、若贵站不需要会员功能,可考虑直接重命名或删除存在漏洞的文件 /member/ajax_membergroup.php,最 却有效的方式。
注明:本文给出的临时补丁仅供临时防御,对系统造成轻微影响尚未进行系统测试,具体补丁等需等待官方补丁。
知道创宇给出三种临时解决方案:
方案一、临时补丁,需要四步
1. 确保您的magic_quotes_gpc = On
详细开启方式:打开php安装目录中的php.ini(若您使用的是appserv等集成环境,php.ini可能在系统盘符:\windows\php.ini),搜索magic_quotes_gpc,将其设置为On。
2./plus/carbuyaction.php 22行附近即
if($cfg_mb_open == 'N') { ShowMsg("系统关闭了会员功能,因此你无法访问此页面!","javascript:;"); exit(); }
下面添加一行代码
$rs =array();
3.在 member/ajax_membergroup.php 33行附近即
if(empty($membergroup)){ echo "您还没有设置分组!"; exit; }
下面加入如下代码:
if(strpos($membergroup,"'")){ echo "SQL注入防护临时补丁,知道创宇安全团队提醒您关注官方补丁!"; exit; }
4.原member/ajax_membergroup.php 36 行附近的
$row = $dsql->GetOne("SELECT groupname FROM ddmx_member_group WHERE mid = {$cfg_ml->M_ID} AND id={$membergroup}");
修改为
$row = $dsql->GetOne("SELECT groupname FROM ddmx_member_group WHERE mid = {$cfg_ml->M_ID} AND id='{$membergroup}'");
方案二、以网站管理员身份后台禁用会员功能系统 -> 系统基本参数 -> 会员设置 -> 是否开启会员功能 改为(否)
方案三、若贵站不需要会员功能,可考虑直接重命名或删除存在漏洞的文件 /member/ajax_membergroup.php,最 却有效的方式。
注明:本文给出的临时补丁仅供临时防御,对系统造成轻微影响尚未进行系统测试,具体补丁等需等待官方补丁。
本文标签:
很赞哦! ()
相关文章
- 织梦dedecms删除文章时不删除HTML不删除附件图片的实现方法
- dedecms修改取消或者替换子栏目列表名称中”/”符号
- dedecms织梦配置手机wap站点,并绑定二级域名的实现方法
- 《织梦dedecms二次开拓文档手册》措施目次详解以及数据表布局字
- 织梦dedecms二次开发实现图集缩略图的分页样式
- 办理dedecms织梦上传图片提示ERROR:Copy Uploadfile Error!
- dedecms织梦首页调用单页内容的方法
- 织梦dedecms列表分页页数太多怎么办
- 织梦dedecms升级到5.7原后台JS广告不显示怎么办
- dedecms织梦模板文件不存在无法解析文档的原因及解决方法
- dedecms织梦标签参数说明
- 织梦dedecms上传图片出现image info error的解决方法
随机图文
-
织梦Dede织梦5.7全文检索使用说明sphinx示例
先从下载Coreseek 3.2.13,这里我们就以Windows环境为例:下载后直接解压coreseek-3.2.13-win32.zip,我们这里假设解压到:D:\coreseek-3.2.13-win32 -
浅谈dedecms安全设置做目录执行php脚本限制的方法
dedecms是一个非常好的CMS程序,网站模板,网站插件也比较多,现在较新版本是5.7。经过很多版本的升级和功能添加,dedecms仍然存在很多问题。 -
织梦做产品展示去掉图片为超链接时显示的框框的方法
最近我用织梦做了一个产品展示,给图片加超链接,结果图片周围出现了蓝色框,用了很多方法都不起作用; -
dedecms搜索时当然关键词和栏目名相同时搜索结果为空怎么办
在织梦CMS里.如果关键词和栏目名相同时.搜出来的结果就为空了如何解决呢;如果搜索的词和某一个栏目名称相同,如果这个栏目下没有文章,即使别的栏目有这个标题的文章
留言与评论 (共有 条评论) |