DEDECMS再爆严重安全漏洞,不用后台帐号密码,即可登录网站后台。
解决办法:
找到include/common.inc.php文件,把
foreach($_REQUEST as $_k=>$_v)
{
var_dump($_k);
if( strlen($_k)>0 && preg_match(‘#^(cfg_|GLOBALS)#’,$_k) )
{
exit(‘Request var not allow!’);
}
}换成
//检查和注册外部提交的变量
function CheckRequest(&$val) {
if (is_array($val)) {
foreach ($val as $_k=>$_v) {
CheckRequest($_k);
CheckRequest($val[$_k]);
}
} else
{
if( strlen($val)>0 && preg_match(‘#^(cfg_|GLOBALS)#’,$val) )
{
exit(‘Request var not allow!’);
}
}
}
CheckRequest($_REQUEST);
具体入侵步骤不再说了。使用dedecms,一定要修改后台路径,看到后台提示有新补丁,及时更新即可。
PS:柏拉图走后 dede真的不行了,为了您网站的长远发展,建议及时更换程序。