DEDECMS 5.7之前版本远程SQL注入漏洞

查看次数:  编辑:sorry404  时间:2014-05-04 02:55

  漏洞描述:

  DEDECMS是织梦内容管理系统,国内一款基于PHP+MySQL的技术开发的,支持多种服务器平台的PHP网站内容管理系统。

  DEDECMS 5.7之前版本在实现上存在SQL注入漏洞,dedecms安装之后默认即开启漏洞模块,远程攻击者可能利用此漏洞非法操作数据库,导致泄露敏感信息或控制应用。

  <* 参考

  http://yaonie.org/archives/209.html

  http://sebug.net/appdir/织梦(DedeCms)

  *>

  Sebug安全建议:

  临时解决方法:

  如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

  方案一、临时补丁

  方案二、以网站管理员身份后台禁用会员功能

  系统 -> 系统基本参数 -> 会员设置 -> 是否开启会员功能 改为(否)

  方案三、可考虑直接重命名或删除存在漏洞的文件 /member/ajax_membergroup.php,最暴力却最有效的方式。