DedeCMS再曝Sql注入漏洞 加速乐发布临时补丁

来源:知道创宇2019.06.20

继加速乐于2013年03月29日预警“dedecms(织梦CMS)本地包含漏洞”(http://jiasule.com/news/5155448375db5c2f03000000/ )后,近日,国内著名第三方漏洞平台wooyun曝光了dedecms(织梦CMS)一个的sql注入漏洞细节,经知道创宇网站安全中心研究人员分析发现,该漏洞与知道创宇安全研究人员之前自主发现上并报给官方的sql注入漏洞为同一个漏洞。目前官方还没有给出任何的解决方案及补丁方式,该漏洞仍属“0day漏洞”。我们再次发出预警,提醒站长们注意,该漏洞属于“高危”漏洞,可以导致攻击者控制网站服务器,最终实现“挂马”、恶意篡改”、“脱库”等恶意攻击。我们已积极再次联系dedecms官方,希望得到官方重视!请各位站长关注我们的微博及官方消息,复查网站安全。同时知道创宇安全防护产品加速乐可成功防御该漏洞,加速乐用户不受此漏洞影响!

关于dedecms(织梦CMS)

DedeCMS基于PHP+MySQL的技术开发,支持多种服务器平台,从2004年开始发布第一个版本开始,至今已经发布了五个大版本。DedeCMS以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场,目前已经有超过35万个站点正在使用DedeCMS或基于DedeCMS核心开发,产品安装量达到95万。是目前国内最常见的建站程序之一,也是“黑客”密切关注的对象!
官方网站:www.dedecms.com

4月2日最新消息:截止目前织梦CMS官方已经发布更新补丁,加速乐强烈建议站长朋友们及时更新补丁,确保网站安全:http://www.dedecms.com/products/dedecms/downloads/

推荐使用加速乐防御此类漏洞,同时建议广大站长启用以下临时补丁修复漏洞。

临时安全补丁
/plus/feedback.php 264-265行里的代码:

        $arctitle = $row['arctitle'];
        
改为:

        $arctitle = addslashes($row['arctitle']);

名词解释

0day漏洞:是指已经被发现(有可能未被公开),而官方还没有相关补丁的漏洞。

sql注射漏洞:是应用程序常见的一种漏洞类型,也叫“SQL Injection”或“sql注入”。可以直接危及到网站数据安全导致网站“脱库”,甚至直接危及到网站服务器系统安全。属于“高危”漏洞。

关于加速乐及知道创宇

“加速乐”(www.jiasule.com)是中国领先的互联网安全提供商知道创宇推出的一款在线免费网站CDN加速、网站安全防护平台。致力于系统化解决网站访问速度过慢及网站反黑客问题。

“知道创宇”(www.knownsec.com)全称为北京知道创宇信息技术有限公司。是国内最早提出网站安全云监测及云防御的高新企业,始终致力于为客户提供基于云技术支撑的下一代Web安全解决方案。知道创宇总部设在北京,在香港、上海、广州、成都设有分公司,客户及合作伙伴来自中国、美国、日本、韩国等。凭借强大的云安全技术与产品的高可用性、易管理性、合规性和业务连续性、以及动态保障关键Web数据资产安全的能力,帮助用户应对变化多端的互联网安全威胁,赢得了企业、政府与公共机构的青睐。知道创宇安全实验室在零日安全威胁与云安全技术方面的研究得到了业内的广泛认同并享有极高知名度。

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态