dedecms模版SQL注入漏洞 /member/soft_add.php 修复

作者: 本站原创  发布时间:  浏览:

dedecms的/member/soft_add.php中,对输入模板参数$servermsg1未进行严格过滤,导致攻击者可构造模版闭合标签,实现模版注入进行GETSHELL。

打开文件/member/soft_add.php,搜索(大概在154行):

$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link} ";

替换为

if (preg_match("#}(.*?){/dede:link}{dede:#sim", $servermsg1) != 1) {

$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link} ";

}

 
这样处理后就对参数惊醒了过滤,存在的漏洞也就修复完成了。
 
以上就是织梦dedecms模版soft_add.php SQL注入漏洞修复方法的全部内容,希望对大家的学习和解决疑问有所帮助。

上一篇:dedecms后台文件任意上传漏洞 media_add.php 修复

下一篇:dedecms cookies泄漏导致SQL漏洞 member/inc/inc_archives_functions.php 修复

相关文章

最新织梦cms漏洞之安全设置,有效防护木马(更新

织梦安全:更改plus名称

阿里云提醒/member/reg_new.php注入漏洞解决办法

织梦程序网站被挂马或快照劫持终极解决办法

dedecms织梦导致CPU峰值现象的解决办法

添加微信
添加微信,免费咨询

15205695834

新手指南支付购买售后服务关于我们版权合规
合肥秀站网络科技有限公司
Copyright 2002-2022 麦站 版权所有
皖ICP备12018676号 网站地图