dedecms模版soft_add.phpSQL注入漏洞修復(fù)方法
來源:本站原創(chuàng)|時(shí)間:2021-08-05|欄目:dedecms|點(diǎn)擊: 次
dedecms的/member/soft_add.php中,對(duì)輸入模板參數(shù)$servermsg1未進(jìn)行嚴(yán)格過濾,導(dǎo)致攻擊者可構(gòu)造模版閉合標(biāo)簽,實(shí)現(xiàn)模版注入進(jìn)行GETSHELL。
打開文件/member/soft_add.php,搜索(大概在154行):
$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";
替換為:
if (preg_match("#}(.*?){/dede:link}{dede:#sim", $servermsg1) != 1) {
$urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";
}
上一篇:DedeCMS系統(tǒng)無此TAG標(biāo)簽已移除
欄 目:dedecms
下一篇:DedeCMS織夢(mèng)一篇文章發(fā)布到多個(gè)副欄目
本文標(biāo)題:dedecms模版soft_add.phpSQL注入漏洞修復(fù)方法
本文地址:http://www.jygsgssxh.com/a1/dedecms/16362.html
您可能感興趣的文章
- 08-05Dedecms文件目錄結(jié)構(gòu)解說(能知道織夢(mèng)每個(gè)文件有什么用)
- 08-05Dedecms5.7版ckeditor網(wǎng)頁(yè)編輯器添加中文字體
- 08-05織夢(mèng)DedeCMS獲取當(dāng)前欄目文章數(shù)量
- 08-05DedeCMS后臺(tái)模塊列表顯示空白的解決辦法
- 08-05DedeCMS自定義字段圖片調(diào)用的問題{dede:img ...}解決方法
- 08-05織夢(mèng)DedeCMS調(diào)用顯示discuz里面主題的方法
- 08-05常用的織夢(mèng)dedecms安全設(shè)置集合整理
- 08-05dedecms教程:上傳圖片相對(duì)路徑改成絕對(duì)路徑方法
- 08-05DedeCMS會(huì)員投稿自動(dòng)加積分改為投稿審核后加積分
- 08-05織夢(mèng)教程:手把手教你讓dedecms禁止發(fā)布重復(fù)文章
