dedecms注入漏洞评论标题(0day漏洞)
作者:袖梨
2022-06-25
scanv网站安全平台发布信息,dedecms出现0day漏洞,通过该漏洞可以注入恶意代码到评论标题里,网站管理员在后台管理用户评论时触发恶意代码,直接危及到网站服务器安全,最终导致网站被“脱裤”、“挂马”、“非法seo”等危害。
临时解决方案
一、打开文件/plus/feedback_ajax.php 搜索并找到代码:
| 代码如下 | 复制代码 |
| $arctitle = addslashes($title); 修改为: $arctitle = addslashes(HtmlReplace($title)); |
|
二、在dedecms后台目录(默认目录为/dede/)下,打开子目录/templets/下找到文件:feedback_main.htm 和 feedback_edit.htm 做如下修改:
1、打开文件feedback_main.htm 搜索并找到代码:
| 代码如下 | 复制代码 |
| {dede:field.arctitle/} 修改为: {dede:field.arctitle function=HtmlReplace(@me)/} |
|
2、打开文件feedback_edit.htm 搜索并找到代码:
| 代码如下 | 复制代码 |
修改为: |
|
相关文章
精彩推荐
-
下载水物理模拟器手机版 安卓版v1.3.39
模拟经营 水物理模拟器手机版 安卓版v1.3.39水物理模拟器是一款玩法非常多样的沙盒建造类手游,玩家可以在游
-
下载
创造世界2 安卓版v2.1.0
模拟经营 创造世界2 安卓版v2.1.0创造世界2是一款非常有趣的模拟类游戏,玩家在游戏中可以控制自
-
下载
时光杂货店0.1折 安卓版v1.9.1
模拟经营 时光杂货店0.1折 安卓版v1.9.1时光杂货店折扣版是一款模拟经营类游戏,玩家们将在游戏中重回八
-
下载
TRS12火车模拟器(内置模组) 安卓版v1.3.9
模拟经营 TRS12火车模拟器(内置模组) 安卓版v1.3.9TRS12火车模拟器(内置模组)是一个非常有趣的火车模拟游戏
-
下载
泽塔奥特曼升华器模拟器 最新版v2.3
模拟经营 泽塔奥特曼升华器模拟器 最新版v2.3泽塔奥特曼升华器模拟器是根据《泽塔奥特曼》电视剧出现的变身器
