全部产品
云市场

【漏洞公告】Dedecms 变量覆盖漏洞

更新时间:2018-03-12 14:32:48

漏洞描述

Dedecms 5.5 版本存在一个变量覆盖漏洞。该漏洞文件位于include\dialog\select_soft_post.php, 其变量$cfg_basedir没有正确初始化,导致攻击者可以饶过身份认证和系统变量来初始化文件,从而可以上传任意文件到指定目录。

利用该漏洞的前提是register_globals=on,即允许通过自定义表单为相关的变量赋值。

漏洞危害

攻击者可以通过网络公开的利用工具,直接上传网站后门,入侵网站。

修复方案

通过官方途径,将DedeCMS升级至最新版本。