DedeCMS零日威脅來襲 SCANV發(fā)布紅色警報

2024-04-25 20:51:08

字體：大中小

供稿：網(wǎng)友

近日，一名ID為“imspider”的漏洞研究者在網(wǎng)絡(luò)安全社區(qū)t00ls論壇發(fā)布了DedeCMS的“任意密碼重置”漏洞，經(jīng)知道創(chuàng)宇SCANV網(wǎng)站安全研究人員確認(rèn)，該漏洞屬于“高危”級別漏洞，可以直接“秒殺”網(wǎng)站服務(wù)器，獲取CMS管理員權(quán)限。

    2004年至今，DedeCMS已占領(lǐng)了國內(nèi)CMS的大部份市場，有超過35萬個站點正在使用DedeCMS或基于DedeCMS核心開發(fā)，產(chǎn)品安裝量達(dá)到95萬。是目前國內(nèi)最常見的建站程序之一，也是“黑客”密切關(guān)注的對象。

    自2013年3月份開始，SCANV網(wǎng)站安全中心幾乎每周都能發(fā)現(xiàn)DedeCMS的漏洞信息，且其中大多都是SQL注入、文件上傳、密碼篡改等致命漏洞，每個都能導(dǎo)致網(wǎng)站遭受“掛馬”、“脫褲”的威脅……

    截至到本文發(fā)布為止，官方還沒有對此發(fā)布任何修復(fù)補(bǔ)丁。目前SCANV網(wǎng)站安全中心已積極聯(lián)系DedeCMS官方，請站長密切關(guān)注相關(guān)動態(tài)。

    針對該漏洞SCANV網(wǎng)站安全中心也推出了臨時解決方案，建議廣大DedeCMS站長立即采用。

    臨時解決方案：

    打開文件/include/dedesql.class.php及/include/dedesqli.class.php

    找到如下代碼：

    if(isset($GLOBALS['arrs1']))

    {

    $v1 = $v2 = '';

    for($i=0;isset($arrs1[$i]);$i++)

    {

    $v1 .= chr($arrs1[$i]);

    }

    for($i=0;isset($arrs2[$i]);$i++)

    {

    $v2 .= chr($arrs2[$i]);

    }

    $GLOBALS[$v1] .= $v2;

    }

    修改為：

    $GLOBALS['arrs1']=array();//fixedbyknownsec.com 2013.06.07

    if(isset($GLOBALS['arrs1']))

    {

    $v1 = $v2 = '';

    for($i=0;isset($arrs1[$i]);$i++)

    {

    $v1 .= chr($arrs1[$i]);

    }

    for($i=0;isset($arrs2[$i]);$i++)

    {

    $v2 .= chr($arrs2[$i]);

    }

    $GLOBALS[$v1] .= $v2;
}

    [注：此為臨時性解決方案。如有任何問題，請登陸http://bbs.jiasule.com/forum.php進(jìn)行交流]

    關(guān)于SCANV網(wǎng)站安全中心及知道創(chuàng)宇

    “SCANV網(wǎng)站安全中心”（http://www.scanv.com），由知道創(chuàng)宇安全研究團(tuán)隊驅(qū)動，專注網(wǎng)站安全一體化解決方案，給站長朋友們提供網(wǎng)站漏洞診斷、漏洞預(yù)警、被黑預(yù)警，并提供多維度的安全解決方案、專家一對一漏洞修復(fù)、一鍵云端防御等。

    “知道創(chuàng)宇”（http://www.knownsec.com）全稱為北京知道創(chuàng)宇信息技術(shù)有限公司。是國內(nèi)最早提出網(wǎng)站安全云監(jiān)測及云防御的高新企業(yè)，始終致力于為客戶提供基于云技術(shù)支撐的下一代Web安全解決方案。知道創(chuàng)宇總部設(shè)在北京,在香港、上海、廣州、成都設(shè)有分公司，客戶及合作伙伴來自中國、美國、日本、韓國等。憑借強(qiáng)大的云安全技術(shù)與產(chǎn)品的高可用性、易管理性、合規(guī)性和業(yè)務(wù)連續(xù)性、以及動態(tài)保障關(guān)鍵Web數(shù)據(jù)資產(chǎn)安全的能力，幫助用戶應(yīng)對變化多端的互聯(lián)網(wǎng)安全威脅，贏得了企業(yè)、政府與公共機(jī)構(gòu)的青睞。知道創(chuàng)宇安全實驗室在零日安全威脅與云安全技術(shù)方面的研究得到了業(yè)內(nèi)的廣泛認(rèn)同并享有極高知名度。

上一篇：DEDECMS二次開發(fā)編碼規(guī)范(一)

下一篇：Dede新用戶注冊發(fā)送驗證郵件的方法