DedeCMS 全版本通杀SQL注入漏洞利用代码及工具 –


avatar
pcwnas 2023-04-21 273

原文来自:https://www.zixuephp.com

DedeCMS 全版本通杀SQL注入漏洞利用代码及工具

目前官方最新版已修复该漏洞

V5.7.37 GBK正式版20140228常规更新补丁

http://www.dedecms.com/pl/

http://www.wooyun.org/bugs/wooyun-2014-051889

http://www.wooyun.org/bugs/wooyun-2014-051950

请删除 plus/recommend.php 你懂的.

dede/config.php, 更新cookies加密密码

include/helpers/channelunit.helper.php,禁用标签提示.

include/uploadsafe.inc.php,可能导致SQL注入漏洞修复,删除此句:$$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\", "\\", $_FILES[$_key]['tmp_name']); 原理搜 str_replace 注入

member/soft_edit.php,文件上传过滤

member/buy_action.php,加强字符串加密函数提升安全性