您当前的位置: 首页 > 时尚

DedeCMS曝高危漏洞360提醒站长快iyiou.com

2019-03-11 15:57:25

DedeCMS曝高危漏洞 360提醒站长快打补丁

第三方漏洞报告平台乌云曝光DedeCMS(织梦)建站系统SQL注入漏洞(。攻击者可以借此漏洞实施攻击,直接窃取服务器数据。据360站安全检测对注册用户的分析发现,半数以上使用DedeCMS系统的站受到该漏洞威胁,建议站长尽快安装织梦官方补丁。

DedeCMS在国内应用广泛,是目前的建站系统之一。本次曝光的漏洞已经影响易、万、人人、C余下时间韦文军便坐在别人电脑前SDN以及织梦官方演示站点等众多知名站,还有大批中小站同样存在漏洞风险,广大站长应予以高度重视。

图1:前面通过is_numeric判断

据360安全工程师分析,DedeCMS曝光的SQL注入漏洞存在于/plus/p中,其中的$typeid变量被二次覆盖导致前面的判断失效,

从而产生漏洞。而且,包括GBK版本和UTF-8版本的DedeCMSV5.7均存在这一漏洞。

图2:直接覆盖$typeid的值,导致SQL注入漏洞产生

图3:攻击者能直接利用该漏洞直获取站数据库信息(demo)

目前,织梦DedeCMS官已经发布补丁程序,360站安全检测平台可爱的是心善时间向注册用户群发了告警邮件,提醒用户尽快打补丁,防止黑客拖库攻击。同时,360站工程师建议站管理员及个人站长使用360站安全检测平台对站进行全面体检,掌握站安全状况,并使用360站卫士防御黑客攻击。

织梦官方补丁程序下载地址:

关于360站安全服务

360为站长提供免费的站安全解决方案,包括360站安全检测平台和360站卫士:

360站安全检测平台是国内集站漏洞检测、站挂马监控、站篡改监控于一体的免费检测平台,拥有全面的站漏洞库及蜜罐集群检测系统,能够时间协助站检测修复漏洞;

360站卫士则为站长免费提供站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和等服务。

关于奇虎360科技有限公司

360(NYSE:QIHU)是中国的互联安全服务提供商。按照用户数量计算,目前360是中国前三大互联公司之一。据第三方数据显示,作为互联免费安全的首创者,360为逾4亿中国互联用户提供的互联和无线安全产品及服务,用户渗透率逾90%。360通过提供细致、完善的平台服务以及络安全服务,以开放平台实现商业价值,与合作伙伴共同建立起多方共赢的互联生态体系。

2010年郑州房产企业
2012年苏州B2B/企业服务F轮企业
2012年汽车出行C轮企业
推荐阅读
图文聚焦