君语贤
时光静好,与君语;细水流年,与君同;繁华落尽,与君老...

织梦开发>安全类>正文

dedecms cookies泄漏导致SQL漏洞文件inc_archives_functions.php修复

2019-01-24 12:17 君语贤cookies泄漏dedecmsSQL漏洞文件

漏洞名称:dedecms cookies泄漏导致SQL漏洞

dedecms cookies泄漏导致SQL漏洞文件inc_archives_functions.php修复

补丁文件:/member/inc/inc_archives_functions.php

漏洞描述:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。

解决方法

1.打开memberincinc_archives_functions.php文件,找到239行,将

echo"<inputtype="hidden"name="dede_fieldshash"value="".md5($dede_addonfields.$cfg_cookie_encode).""/>";

替换为:

echo"<inputtype="hidden"name="dede_fieldshash"value="".md5($dede_addonfields."dls6.com".$cfg_cookie_encode).""/>";

2.批量搜索"$formfields.$cfg_cookie_encode"

3.将

$formfields.$cfg_cookie_encode

替换为

$formfields."dls6.com".$cfg_cookie_encode

本文链接:https://www.weguiding.com/safety/318.html

图文推荐
热门标签
阿里云漏洞修复Linux服务器漏洞服务器修复账号dedecms后台安全设置