Dedecms服務器報警!
下面是阿里雲盾提示的漏洞:
漏洞名稱:dedecms SESSION變量覆蓋導致SQL注入
補丁編號:10286982
補丁文件:/home/wwwroot/www.****.com/include/common.inc.php
補丁來源:雲盾自研
更新時間:2017-01-04 10:06:48
漏洞描述:dedecms的/plus/advancedsearch.php中,直接從$_SESSION[$sqlhash]獲取值作爲$query帶入SQL查詢,這個漏洞的利用前提是session.auto_start = 1即開始了自動SESSION會話,雲盾團隊在dedemcs的變量註冊入口進行了通用統一防禦,禁止SESSION變量的傳入。【注意:該補丁爲雲盾自研代碼修復方案,雲盾會根據您當前代碼是否符合雲盾自研的修復模式進行檢測,如果您自行採取了底層/框架統一修復、或者使用了其他的修復方案,可能會導致您雖然已經修復了改漏洞,雲盾依然報告存在漏洞,遇到該情況可選擇忽略該漏洞提示】
經過度娘搜索,修復教程如:
1、用編輯器打開/include/common.inc.php這個文件,
2、搜索如下代碼:
(cfg_|GLOBALS|_GET|_POST|_COOKIE)
3、替換爲如下代碼(有兩處需要替換):
(cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)
修改前請備份好文件,將修改後的/include/common.inc.php 文件上傳替換阿里雲服務器上的即可解決此問題。
