DedeCMS零日威脅來(lái)襲 SCANV發(fā)布紅色警報(bào)

2024-04-25 20:51:08

字體：大中小

供稿：網(wǎng)友

近日，一名ID為“imspider”的漏洞研究者在網(wǎng)絡(luò)安全社區(qū)t00ls論壇發(fā)布了DedeCMS的“任意密碼重置”漏洞，經(jīng)知道創(chuàng)宇SCANV網(wǎng)站安全研究人員確認(rèn)，該漏洞屬于“高危”級(jí)別漏洞，可以直接“秒殺”網(wǎng)站服務(wù)器，獲取CMS管理員權(quán)限。

    2004年至今，DedeCMS已占領(lǐng)了國(guó)內(nèi)CMS的大部份市場(chǎng)，有超過(guò)35萬(wàn)個(gè)站點(diǎn)正在使用DedeCMS或基于DedeCMS核心開(kāi)發(fā)，產(chǎn)品安裝量達(dá)到95萬(wàn)。是目前國(guó)內(nèi)最常見(jiàn)的建站程序之一，也是“黑客”密切關(guān)注的對(duì)象。

    自2013年3月份開(kāi)始，SCANV網(wǎng)站安全中心幾乎每周都能發(fā)現(xiàn)DedeCMS的漏洞信息，且其中大多都是SQL注入、文件上傳、密碼篡改等致命漏洞，每個(gè)都能導(dǎo)致網(wǎng)站遭受“掛馬”、“脫褲”的威脅……

    截至到本文發(fā)布為止，官方還沒(méi)有對(duì)此發(fā)布任何修復(fù)補(bǔ)丁。目前SCANV網(wǎng)站安全中心已積極聯(lián)系DedeCMS官方，請(qǐng)站長(zhǎng)密切關(guān)注相關(guān)動(dòng)態(tài)。

    針對(duì)該漏洞SCANV網(wǎng)站安全中心也推出了臨時(shí)解決方案，建議廣大DedeCMS站長(zhǎng)立即采用。

    臨時(shí)解決方案：

    打開(kāi)文件/include/dedesql.class.php及/include/dedesqli.class.php

    找到如下代碼：

    if(isset($GLOBALS['arrs1']))

    {

    $v1 = $v2 = '';

    for($i=0;isset($arrs1[$i]);$i++)

    {

    $v1 .= chr($arrs1[$i]);

    }

    for($i=0;isset($arrs2[$i]);$i++)

    {

    $v2 .= chr($arrs2[$i]);

    }

    $GLOBALS[$v1] .= $v2;

    }

    修改為：

    $GLOBALS['arrs1']=array();//fixedbyknownsec.com 2013.06.07

    if(isset($GLOBALS['arrs1']))

    {

    $v1 = $v2 = '';

    for($i=0;isset($arrs1[$i]);$i++)

    {

    $v1 .= chr($arrs1[$i]);

    }

    for($i=0;isset($arrs2[$i]);$i++)

    {

    $v2 .= chr($arrs2[$i]);

    }

    $GLOBALS[$v1] .= $v2;
}

    [注：此為臨時(shí)性解決方案。如有任何問(wèn)題，請(qǐng)登陸http://bbs.jiasule.com/forum.php進(jìn)行交流]

    關(guān)于SCANV網(wǎng)站安全中心及知道創(chuàng)宇

    “SCANV網(wǎng)站安全中心”（http://www.scanv.com），由知道創(chuàng)宇安全研究團(tuán)隊(duì)驅(qū)動(dòng)，專(zhuān)注網(wǎng)站安全一體化解決方案，給站長(zhǎng)朋友們提供網(wǎng)站漏洞診斷、漏洞預(yù)警、被黑預(yù)警，并提供多維度的安全解決方案、專(zhuān)家一對(duì)一漏洞修復(fù)、一鍵云端防御等。

    “知道創(chuàng)宇”（http://www.knownsec.com）全稱(chēng)為北京知道創(chuàng)宇信息技術(shù)有限公司。是國(guó)內(nèi)最早提出網(wǎng)站安全云監(jiān)測(cè)及云防御的高新企業(yè)，始終致力于為客戶(hù)提供基于云技術(shù)支撐的下一代Web安全解決方案。知道創(chuàng)宇總部設(shè)在北京,在香港、上海、廣州、成都設(shè)有分公司，客戶(hù)及合作伙伴來(lái)自中國(guó)、美國(guó)、日本、韓國(guó)等。憑借強(qiáng)大的云安全技術(shù)與產(chǎn)品的高可用性、易管理性、合規(guī)性和業(yè)務(wù)連續(xù)性、以及動(dòng)態(tài)保障關(guān)鍵Web數(shù)據(jù)資產(chǎn)安全的能力，幫助用戶(hù)應(yīng)對(duì)變化多端的互聯(lián)網(wǎng)安全威脅，贏得了企業(yè)、政府與公共機(jī)構(gòu)的青睞。知道創(chuàng)宇安全實(shí)驗(yàn)室在零日安全威脅與云安全技術(shù)方面的研究得到了業(yè)內(nèi)的廣泛認(rèn)同并享有極高知名度。

上一篇：DEDECMS二次開(kāi)發(fā)編碼規(guī)范(一)

下一篇：Dede新用戶(hù)注冊(cè)發(fā)送驗(yàn)證郵件的方法