阿里云dedecms留言板注入漏洞

admin2023-01-182476

漏洞名称：dedecms注入漏洞

漏洞文件：/plus/guestbook/edit.inc.php

漏洞描述：dedecms留言板注入漏洞

解决方法：在/plus/guestbook/edit.inc.php文件中搜索

$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");

在它的上面添加

$msg  = addslashes($msg);

形成如下面代码

$msg = HtmlReplace($msg, -1);
$msg  = addslashes($msg); 
$dsql->ExecuteNoneQuery("UPDATE `#@__guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");
ShowMsg("成功更改或回复一条留言！", $GUEST_BOOK_POS);
exit();

dede漏洞修复

CMS

DEDE
帝国
EMLOG
ZBLOG
Wordpress