君语贤
时光静好,与君语;细水流年,与君同;繁华落尽,与君老...

织梦开发>安全类>正文

dedecms cookies泄漏导致SQL漏洞文件inc_archives_functions.php修复

2019-06-11 15:45 君语贤cookie修复漏洞

漏洞名称:dedecms cookies泄漏导致SQL漏洞

dedecms cookies泄漏导致SQL漏洞文件inc_archives_functions.php修复

补丁文件:/member/inc/inc_archives_functions.php

漏洞描述:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。

解决方法

1.打开\member\inc\inc_archives_functions.php文件,找到239行,将

echo "<input type=hidden name=dede_fieldshash value=".md5($dede_addonfields.$cfg_cookie_encode)." />";

替换为:

echo "<input type=hidden name=dede_fieldshash value=".md5($dede_addonfields."dls6.com".$cfg_cookie_encode)." />";

2.批量搜索"$formfields.$cfg_cookie_encode"

3.将

$formfields.$cfg_cookie_encode

替换为  

$formfields."dls6.com".$cfg_cookie_encode

本文链接:https://www.weguiding.com/safety/487.html

图文推荐
热门标签
阿里云漏洞修复Linux服务器漏洞服务器修复账号dedecms后台安全设置