• [织梦吧]唯一域名:www.dedecms8.com,织梦DedeCMS学习平台.

织梦吧 - dedecms,网站模板,建站教程,图片素材免费下载

TAGS:手机刷机 QQ2014下载织梦教程DEDECMS自学教程DedeCMS模板站长下载

DedeCMS视频教程
当前位置: 织梦吧 > DedeCMS教程 > DedeCMS安装使用 >

360网站安全检测平台4月所爆DEDECMS高危漏洞的修复方案

来源: www.dedecms8.com 编辑:织梦吧 时间:2013-04-22点击:

360网站安全检测平台近期发布了DEDECMS(V5.7)两个高危漏洞并提供了修复方案,建议站长朋友尽快修复完善,下面是具体的漏洞及修复方案:

漏洞原理:好友描述修改SQL注入漏洞,漏洞存在于/member/ajax_membergroup.php文件中,好友描述修改处参数未过滤导致SQL注入漏洞。

 

图1:好友描述修改漏洞所在函数

会员中心收藏删除SQL注入漏洞

漏洞存在/ember/inc/space_action.php文件中

收藏删除功能

图2:会员中心收藏删除漏洞所在函数

漏洞利用效果及危害

利用该SQL注入获取管理员账号密码

图3:漏洞利用效果

修复方案

修改/member/ajax_membergroup.php文件中约51行处改成如下

elseif($action == 'despost')

{

    $mdescription=addslashes($mdescription);

    $mid=intval($mid);

    $sql = "UPDATE `dede_member_friends` SET `description`='{$mdescription}' WHERE `fid`='{$mid}' AND `mid`='{$cfg_ml->M_ID}'";//$mdescription参数未作任何过滤

    echo $sql;

    $dsql->ExecuteNoneQuery($sql);

    $row = $dsql->GetOne("SELECT description FROM dede_member_friends WHERE  `fid`='{$mid}' AND `mid`='{$cfg_ml->M_ID}'");

    echo " ".$row['description']."  修改";

}

/member/inc/space_action.php文件约306行修改成如下

else if($action=='feeddel')

{

    CheckRank(0,0);

    $fid=(empty($fid))? "" : intval($fid);

    $row = $dsql->GetOne("SELECT mid FROM `dede_member_feed` WHERE fid='$fid'");//直接获取$fid值带入sql语句

    if($cfg_ml->M_ID!=$row['mid'])

    {

        ShowMsg('此动态信息不存在!', -1);

        exit();

    }

    $inquery = "DELETE FROM `dede_member_feed` WHERE fid='$fid' AND mid='".$cfg_ml->M_ID."'";

    $dsql->ExecuteNoneQuery($inquery);

    ShowMsg('成功删除一条动态信息!', "index.php");

    exit();

}

标签:

猜您也喜欢...

评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)
  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

  • 免费送织梦模版,织梦教程
    2013-04-24 20:00:45发表

    草织梦就是不行啊!

栏目导航
更多>>
DedeCMS安装使用
DedeCMS模板标签
Dedecms二次开发
DedeCMS漏洞与安全
猜你也喜欢看这些...

热门TagS

织梦CMS

织梦下载 织梦模板 织梦教程 织梦标签 织梦手册 织梦安全 织梦视频 织梦论坛

CMS

下载

站长下载 手机ROM 网页模板 好站推荐

教程资源

About D8

  • ©2014 织梦吧(d8) DedeCMS学习交流平台
  • 唯一网址 www.DedeCMS8.com 网站地图
  • 联系我们 tom@tiptop.cn ,  QQ