Dedecms5.7文件包含漏洞分析与修复方案

最近DedeCMS又被爆出存在文件包含漏洞。据了解,该漏洞影响版本为5.7.106以及之前的版本。影响范围较大,其中,文件uploads/dede/article_allowurl_edit.php存在缺乏对写入内容的安全过滤,导致可以写入任意内容,形成了该漏洞,具体漏洞详情如下:

微信图片_20230531103054.png

攻击者可以通过操纵参数allurls来实现代码注入,并最终获得网站的控制权限。在/data/admin/allowurl.txt文件中写入的内容,并没有经过安全过滤,从而导致被成功绕过。由此可见,开发者应该严格限制用户输入的数据,避免类似漏洞的出现,确保网站的安全性和稳定性。

微信图片_20230531103059.png

SINE安全修复dedecms漏洞的方案:

建议更新DedeCMS到最新版本,即5.7.108或更高版本,官方已经修复了这个漏洞。对文件uploads/dede/article_allowurl_edit.php进行修改,在写入allowurl.txt文件之前,加入过滤器对内容进行过滤,并且限制允许写入的内容格式。禁止未授权用户访问该文件,只开放给具有必要权限的用户使用。

后期网站安全防护建议:

定期检查系统中是否存在漏洞,及时更新相关软件和补丁。对于敏感操作,如登录、注册等,应该引入验证码等机制,增强安全性。加强数据备份,及时备份重要数据,以防止意外情况发生时造成不必要的损失。引入WAF等web应用防火墙,对访问请求进行监测与拦截,防止恶意攻击和注入等行为。不定期进行安全评估和渗透测试,对存在的安全问题进行修复和优化。员工安全教育培训,提高员工安全意识,避免因误操作导致的安全问题。

分享: