织梦DedeCMS系统做的一个新站,上传到服务器后,便提示有严重漏洞危险(如下图所示),问该如何解决?
漏洞名称:dedecms SESSION变量覆盖导致SQL注入 补丁编号:10286982 补丁文件:/home/wwwroot/www.****.com/include/common.inc.php 补丁来源:云盾自研 漏洞描述:dedecms的/plus/advancedsearch.php中,直接从$_SESSION[$sqlhash]获取值作为$query带入SQL查询,这个漏洞的利用前提是session.auto_start = 1即开始了自动SESSION会话,云盾团队在dedemcs的变量注册入口进行了通用统一防御,禁止SESSION变量的传入。【注意:该补丁为云盾自研 代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了改漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】 1、用编辑器打开/include/common.inc.php这个文件, 2、搜索如下代码: (cfg_|GLOBALS|_GET|_POST|_COOKIE)
3、替换为如下代码(有两处需要替换): (cfg_|GLOBALS|_GET|_POST|_COOKIE|_SESSION)
修改前请备份好文件,将修改后的/include/common.inc.php 文件上传替换阿里云 服务器上的即可解决此问题。
| 
