广告联盟网

 找回密码
 注册
查看: 357|回复: 0
打印 上一主题 下一主题

DedeCMS出现漏洞 或导致网站被脱裤挂马

[复制链接]
跳转到指定楼层
1#
发表于 2013-6-4 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

                百度权重查询 站长交易 友情链接交换 网站监控 服务器监控 SEO监控  
                站长之家(Chinaz.com)6月3日消息  近日,国内知名论坛的漏洞研究者发现并公布了一个“dedecms重新安装”的安全漏洞。并称“黑客”可通过这一漏洞控制入侵网站,最终导致网站被“脱裤”、“挂马”、“非法seo”等危害。
SCANV网站安全中心研究人员,曾于5月2日独立发现并报告给dedecms官方一个“dedecms重新安装”的安全漏洞,但官方一直未推出任何安全补丁,到本文发布为止该漏洞仍为0day安全漏洞,另外还发现此漏洞与国内著名网络安全社区t00ls论坛名为“冰封”的漏洞研究者发现并公布的dedecms漏洞为同一个漏洞。该漏洞影响到使用apache作为网站服务器的dedecms的网站系统,“黑客”可通过该漏洞控制入侵网站,最终导致网站被“脱裤”、“挂马”、“非法seo”等危害。

SCANV网站安全中心今日称其已针对这一漏洞推出了临时解决方案。(详见下)。目前知道创宇SCANV网站安全中心支持该漏洞扫瞄。
关于dedecms(织梦CMS)
DedeCMS基于PHP+MySQL的技术开发,支持多种服务器平台,从2004年开始发布第一个版本开始,至今已经发布了五个大版本。DedeCMS以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场,目前已经有超过35万个站点正在使用DedeCMS或基于DedeCMS核心开发,产品安装量达到95万。是目前国内最常见的建站程序之一,也是“黑客”密切关注的对象!
官方网站:www.dedecms.com
漏洞演示 (如下图)

解决方案
删除install/install.php.bak 或者 改名为install/install.bak
于2013年4月24日知道创宇加速乐预警的存在于dedecms文件/member/ajax_membergroup.php里的SQL注入漏洞(详见:http://jiasule.com/news/51774c6180650c75d000002e/),到本文发布日期为止,确认该漏洞并没有得到修补,SCANV网站安全中心表示对官方无视用户安全的态度深表遗憾,并且再次建议广大的dedecms用户启用他们推出的临时补丁,注意网站安全。(如下图)

名词解释:
0day漏洞:是指已经被发现(有可能未被公开)而官方还未发布相关补丁的漏洞。
关于SCANV 网站安全中心及知道创宇
“SCANV 网站安全中心“(http://www.scanv.com),由知道创宇安全研究团队驱动,专注网站安全一体化解决方案,为站长提供网站漏洞诊断、漏洞预警、被黑预警,并提供多维度的安全解决方案、专家一对一漏洞修复、一键云端防御等。
"知道创宇" (http://www.knownsec.com)全称为北京知道创宇信息技术有限公司。是国内最早提出网站安全云监测及云防御的高新企业,始终致力于为客户提供基于云技术支撑 的下一代 Web 安全解决方案。
                                     
                        
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|广告联盟网  

GMT, 2024-11-26 , Processed in 0.092931 second(s), 20 queries .

Powered by Discuz! X3.2

© 2005-2021 www.ggads.com GGADS 广告联盟网

快速回复 返回顶部 返回列表