360独家发布DEDECMS高危漏洞修复计划

发表于2019-04-18 21:13| 次阅读| 来源网络整理| 作者session

摘要：360网站平安检测平台透露，该平台近期独家发布了DEDECMS建站系统最新版本(V5.7)的两个高危漏洞并提供了修复计划，建

4月11日消息，360网站平安检测平台透露，该平台近期独家发布了DEDECMS建站系统最新版本(V5.7)的两个高危漏洞并提供了修复计划，建议宽广采用DEDECMS建站系统用户尽快依照该计划欠缺系统漏洞，以防止网站遭到损失。据引见，此次DEDECMS漏洞由技术高手“c4rp3nt3rr”提交给360网站平安漏洞悬赏“库带方案”，从而推进360网站平安检测平台快速发布修复计划。

据了解， DEDECMS(织梦内容治理系统)是国内最知名的PHP开源网站治理系统，也是利用用户最多的PHP类CMS系统，诸多站点都是基于DEDECMS 建设。360独家发布修复计划，协助网站及时欠缺系统，防止漏洞被应用。

据360网站检测平台引见，此次漏洞存在于DEDECMS的会员中心好友形容,以及会员中心收藏两个中央。好友形容修正处参数未过滤导致SQL注入漏洞;会员中心收藏删除性能存在SQL注入漏洞。据360平安工程师引见，SQL注入漏洞间接要挟网站服务器和数据库，可导致数据库被黑客“拖库”。

据悉，360“库带方案”是国内首个第三方漏洞付费收录平台，以现金奖励模式征集开源建站系统漏洞，单个漏洞奖励金额最高可达1万元。自3月份“库带方案”启动以来，360网站平安检测平台已经搜集了包括DISCUZ、PHPWIND、DEDECMS、PHPCMS、SHOPEX等多个知名建站系统的漏洞，并帮助厂商及时修复。

目前， 360网站平安检测平台()已发布漏洞修复计划，也第一工夫向注册用户发送了告警邮件，提示站长们尽快采取措施;同时建议网站站长们免费启用360网站卫士()，可能有效防备各种0day漏洞攻击。

附：DEDECMS系统漏洞及修复计划：

漏洞原理

好友形容修正SQL注入漏洞

漏洞存在于/member/ajax_membergroup.php文件中

好友形容修正处参数未过滤导致SQL注入漏洞

360独家发布DEDECMS高危漏洞修复方案