名站网址导航为大驾家提供DedeCMS站点程序站点教程相关的知识,比如织梦程序安装教程,织梦程序系统故障等教程。漏洞描述:
dedecms网站程序变量覆盖导致注入漏洞。
存在漏洞的网站文件/plus/search.php,找到以下相关具体代码如下
//引入栏目系统缓存并看关键字是否有相关栏目网站内容 require_once($typenameCacheFile); if(isset($typeArr) && is_array($typeArr)) { foreach($typeArr as $id=>$typename) { $keywordn = str_replace($typename, ‘ ‘, $keyword); if($keyword != $keywordn) { $keyword = $keywordn; $typeid = $id; //对ID没做任何过滤 导致注入 break; } } } } $keyword = addslashes(cn_substr($keyword,30));
替换为以下相关具体代码如下:
//引入栏目系统缓存并看关键字是否有相关栏目网站内容 require_once($typenameCacheFile); if(isset($typeArr) && is_array($typeArr)) { foreach($typeArr as $id=>$typename) { //$keywordn = str_replace($typename, ‘ ‘, $keyword); $keywordn = $keyword; if($keyword != $keywordn) { $keyword = htmlReplace($keywordn);//防XSS $typeid = intval($id); //强制转换为数字型 break; } } } } $keyword = addslashes(cn_substr($keyword,30));
关于DedeCMS站点程序站点教程相关的知识,就说到这里了希望能帮助朋友们。dedecms网站程序织梦程序select_soft_post.php任意网站文件上传漏洞解决方案
