dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie，同时在其他核心支付系统也使用了同样的cookie进行验证，黑客可利用泄漏的cookie通过后台验证，进行后台注入。

admin2023-01-182115

漏洞名称：dedecms cookies泄漏导致SQL漏洞

补丁文件：/member/article_add.php

补丁来源：云盾自研

漏洞描述：dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie，同时在其他核心支付系统也使用了同样的cookie进行验证，黑客可利用泄漏的cookie通过后台验证，进行后台注入。

解决方法

搜索代码：

if (empty($dede_fieldshash) || $dede_fieldshash != md5($dede_addonfields.$cfg_cookie_encode))

修改代码为：

if (empty($dede_fieldshash) || ( $dede_fieldshash != md5($dede_addonfields . $cfg_cookie_encode) && $dede_fieldshash != md5($dede_addonfields . 'anythingelse' . $cfg_cookie_encode)) )

dede漏洞修复

网友评论

CMS

DEDE
帝国
EMLOG
ZBLOG
Wordpress

服务项目

模板定制

接受zblog、dedecms、emlog等开源程序的模板定制。
仿站

给我们一个目标站点,还你一个一模一样的网站模板。
网站建设

最低只要680,给你在互联网上安一个家。还不赶快行动?
官网模板

如果你觉得本网站的模板是你需要的，你可以购买它！

dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie，同时在其他核心支付系统也使用了同样的cookie进行验证，黑客可利用泄漏的cookie通过后台验证，进行后台注入。

网友评论

CMS

模板定制

仿站

网站建设

官网模板