织梦侠
WWW.2L3.NET

dedecms cookies泄漏导致SQL漏洞 inc_archives_functions.php 的解决方法

漏洞名称:dedecms cookies泄漏导致SQL漏洞
补丁文件:/member/inc/inc_archives_functions.php
漏洞描述:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。
 
解决方法
1.打开\member\inc\inc_archives_functions.php文件,找到239行,将
  1. echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields.$cfg_cookie_encode)."\" />";
替换为:
  1. echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields."2l3.net".$cfg_cookie_encode)."\" />";
 
2.批量搜索
  1. $formfields.$cfg_cookie_encode
替换为  
  1. $formfields."2l3.net".$cfg_cookie_encode
转载请注明文章来自织梦侠[秩名]作者的-dedecms cookies泄漏导致SQL漏洞 inc_archives_functions.php 的解决方法
联系作者
取消
这个作者很懒什么也没留下!
打赏作者
取消

本文作者无偿奉献,就打赏给我们织梦侠吧!

扫码支付
扫码打赏,建议金额1-10元

打开支付宝扫一扫,即可进行扫码打赏哦

提醒:打赏金额将直接进入对方账号,无法退款,请您谨慎操作。