織夢俠
WWW.2L3.NET

dedecms模版soft_add.phpSQL注入漏洞修復方法

dedecms的/member/soft_add.php中,對輸入模板參數$servermsg1未進行嚴格過濾,導致攻擊者可構造模版閉合標簽,實現模版注入進行GETSHELL。
打開文件/member/soft_add.php,搜索(大概在154行):
  1. $urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";
替換為:
  1. if (preg_match("#}(.*?){/dede:link}{dede:#sim", $servermsg1) != 1) {
  2. $urls .= "{dede:link islocal='1' text='{$servermsg1}'} $softurl1 {/dede:link}\r\n";
  3. }

轉載請注明文章來自織夢俠[秩名]作者的-dedecms模版soft_add.phpSQL注入漏洞修復方法
聯系作者
取消
這個作者很懶什么也沒留下!
打賞作者
取消

本文作者無償奉獻,就打賞給我們織夢俠吧!

掃碼支付
掃碼打賞,建議金額1-10元

打開支付寶掃一掃,即可進行掃碼打賞哦

提醒:打賞金額將直接進入對方賬號,無法退款,請您謹慎操作。

乐天堂官网 <必威>| <必威体育>| <必威官网>| <必威体育官网>| <必威体育app>| | | | | | | | | <乐天堂>| <乐天堂体育>| <乐天堂官网>| <乐天堂体育官网>| <乐天堂体育app>| | | | | | | | | <同乐城>| <同乐城体育>| <同乐城官网>| <同乐城体育官网>| <同乐城体育app>| | | | | | | | | <热博>| <热博体育>| <热博官网>| <热博体育官网>| <热博体育app>| | | | | | | | | <竞博>| <竞博体育>| <竞博官网>| <竞博体育官网>| <竞博体育app>| | | | | | | | | <贝博>| <贝博体育>| <贝博官网>| <贝博体育官网>| <贝博体育app>| | | | | <亚博>| <亚博体育>| <亚博官网>| <亚博体育官网>| <亚博体育app>| | | | | | | | | <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>