scanv網站安全平台發布信息,dedecms出現0day漏洞,通過該漏洞可以注入惡意代碼到評論標題裡,網站管理員在後台管理用戶評論時觸發惡意代碼,直接危及到網站服務器安全,最終導致網站被“脫褲”、“掛馬”、“非法seo”等危害。
臨時解決方案
一、打開文件/plus/feedback_ajax.php 搜索並找到代碼:
$arctitle = addslashes($title); 修改為: $arctitle = addslashes(HtmlReplace($title));二、在dedecms後台目錄(默認目錄為/dede/)下,打開子目錄/templets/下找到文件:feedback_main.htm 和 feedback_edit.htm 做如下修改:
1、打開文件feedback_main.htm 搜索並找到代碼: {dede:field.arctitle/} 修改為: {dede:field.arctitle function=HtmlReplace(@me)/} 2、打開文件feedback_edit.htm 搜索並找到代碼: <?php echo $row['arctitle']; ?> 修改為: <?php echo HtmlReplace($row['arctitle']); ?> *
