最新 DEDECMS SQL 注入 0day


4月29日消息:国内安全研究团队“知道创宇”称截获到最新DEDECMS SQL注入0day,DEDECMS官网目前提供下载的最新版5.7也受影响,截止本告警发出时官方尚未给出补丁或解决方案,此漏洞利用简单且dedecms安装之后默认即开启漏洞模块。

知道创宇给出三种临时解决方案:

 

方案一:临时补丁,需要四步

1、确保您的magic_quotes_gpc = On

开启方式:打开php安装目录中的php.ini,搜索magic_quotes_gpc,将其设置为On

2、/plus/carbuyaction.php 22行附近即

下面添加一行代码

3、在 member/ajax_membergroup.php 33行附近即

下面加入如下代码:

4、原member/ajax_membergroup.php 36 行附近的

修改为

 

方案二:以网站管理员身份后台禁用会员功能

系统 -> 系统基本参数 -> 会员设置 -> 是否开启会员功能 改为(否)

 

方案三:若贵站不需要会员功能,可考虑直接重命名或删除存在漏洞的文件 /member/ajax_membergroup.php,最暴力却最有效的方式。

注明:本文给出的临时补丁仅供临时防御,对系统造成轻微影响尚未进行系统测试,具体补丁等需等待官方补丁。




评论 (0)