近日，国内某安全人员发布了一个“dedecms本地文件包含漏洞"，同时公布了漏洞攻击验证代码。知道创宇安全研究团队分析发现，该漏洞确实存在，是一个高危“0day”漏洞。攻击者可以通过该漏洞直接上传网站木马控制服务器，最终导致网站“脱库”、“挂马”等严重后果。截止本文发布，官方还没有发布针对该漏洞的防御补丁，知道创宇安全研究团队已积极联系官方，请各位站长密切关注官方动态。同时加速乐发布临时安全补丁（详见下），推荐各种站长启用。目前加速乐可成功防御该漏洞！

关于DedeCMS

DedeCMS基于PHP+MySQL的技术开发，支持多种服务器平台，从2004年开始发布第一个版本开始，至今已经发布了五个大版本。DedeCMS以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场，目前已经有超过35万个站点正在使用DedeCMS或基于DedeCMS核心开发，产品安装量达到95万。是目前国内最常见的建站程序之一，也是“黑客”密切关注的对象！

官方网站：www.dedecms.com

4月2日最新消息：截止目前织梦CMS官方已经发布更新补丁，加速乐强烈建议站长朋友们及时更新补丁，确保网站安全：http://www.dedecms.com/products/dedecms/downloads/

临时安全补丁
i、修改代码如下

/include/payment/alipay.php 133行的代码：

        require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';

修改为：

        $write_list = array('alipay', 'bank', 'cod', 'yeepay');
        if (in_array($_GET['code'], $write_list)){
            require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';
        } else {
                   exit('fix by knownsec.com 2013.03.29');
        }
        
include/payment/yeepay.php 145行的代码：
        
        require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';

修改为：

        $write_list = array('alipay', 'bank', 'cod', 'yeepay');
        if (in_array($_REQUEST['code'], $write_list)){
            require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';
        } else {
                   exit('fix by knownsec.com 2013.03.29');
        }
                

ii、在php.ini里设置： display_errors = Off
 
iii、推荐使用“加速乐” （www.jiasule.com） 防御漏洞。

名词解释 

包含漏洞： 主要是指php语言里 include(),require()和include_once(),require_once() 四个文件包含函数在变量可控的情况下，导致攻击者可以指定包含本地或远程恶意代码文件的漏洞。所以又分为本地包含漏洞及远程包含漏洞。是一种“高危”的Web漏洞类型。可直接导致攻击者控制web主机系统，从而实现“挂马”、“脱库”等攻击。

关于加速乐及知道创宇

“加速乐”(www.jiasule.com)是中国领先的互联网安全提供商知道创宇推出的一款在线免费网站CDN加速、网站安全防护平台。致力于系统化解决网站访问速度过慢及网站反黑客问题。

“知道创宇”(www.knownsec.com)全称为北京知道创宇信息技术有限公司。是国内最早提出网站安全云监测及云防御的高新企业，始终致力于为客户提供基于云技术支撑的下一代Web安全解决方案。知道创宇总部设在北京，在香港、上海、广州、成都设有分公司，客户及合作伙伴来自中国、美国、日本、韩国等。凭借强大的云安全技术与产品的高可用性、易管理性、合规性和业务连续性、以及动态保障关键Web数据资产安全的能力，帮助用户应对变化多端的互联网安全威胁，赢得了企业、政府与公共机构的青睐。知道创宇安全实验室在零日安全威胁与云安全技术方面的研究得到了业内的广泛认同并享有极高知名度。