原文来自:https://www.zixuephp.com
DedeCMS 全版本通杀SQL注入漏洞利用代码及工具
目前官方最新版已修复该漏洞
V5.7.37 GBK正式版20140228常规更新补丁
http://www.dedecms.com/pl/
http://www.wooyun.org/bugs/wooyun-2014-051889
http://www.wooyun.org/bugs/wooyun-2014-051950
请删除 plus/recommend.php 你懂的.
dede/config.php, 更新cookies加密密码
include/helpers/channelunit.helper.php,禁用标签提示.
include/uploadsafe.inc.php,可能导致SQL注入漏洞修复,删除此句:$$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\", "\\", $_FILES[$_key]['tmp_name']); 原理搜 str_replace 注入
member/soft_edit.php,文件上传过滤
member/buy_action.php,加强字符串加密函数提升安全性