漏洞名称:dedecms cookies泄漏导致SQL漏洞
补丁文件:/member/inc/inc_archives_functions.php
补丁来源:丁老师电商开发自研
漏洞描述:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。
解决方法
1.打开\member\inc\inc_archives_functions.php文件,
#pay#
找到239行,将
echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields.$cfg_cookie_encode)."\" />";
替换为:
echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields."dls6.com".$cfg_cookie_encode)."\" />";
如图:
2.批量搜索"$formfields.$cfg_cookie_encode"
3.将$formfields.$cfg_cookie_encode替换为$formfields."dls6.com".$cfg_cookie_encode
如图:
如果你不知道具体如何操作,或者是在打补丁的时候遇到了问题,不能解决,可以联系丁老师,丁老师帮你解决。
最近好多学员在问,自己开发的小程序,需要用html网页打开,按照网上的教程,没有一个成功的,...
小程序定制开发的流程和费用,以及需要准备的材料,具体如下:(包括但不限于微信小程序、百度小程...
excel有一个表格,需要自动计算每一行的乘积,最后计算总和,图示如下可以使用SUMPROD...
安装fastadmin,打开后提示"你所浏览的页面暂时无法访问",无法安...
在php代码中,遇到复杂的sql语句,需要拼装sql语句,如:$sql='id 10...
在使用python3.12时突然遇到提示windowsNomodulenameddistut...
用phpmyadmin导入大数据库文件时,容易502badgateway,可以直接在linu...
今天有同学在群里提问,在使用photoshop编辑文字时,经常会弹出一个文字选择的面板如图:...