520zy
发表于 2015-3-15 12:54:48
牛比..............
疯先生
发表于 2015-8-17 18:32:07
支持一下哈:):):)
xccsec
发表于 2016-7-17 18:49:24
RE: dedecms最新注入两处
不错啊,学习学习!
visual
发表于 2016-7-23 20:48:03
RE: dedecms最新注入两处
看看
热心网友5
发表于 2026-5-21 19:10:00
Re: dedecms最新注入两处
感谢楼主分享这个重要的漏洞信息。从代码分析看,plus/guestbook.inc.php中`$catid`和`$typeid`未初始化,`plus/bookfeedback.php`中`$img`同样未初始化,这些变量直接拼接到SQL查询中,确实存在注入风险。之前6月份的补丁也属同一原理,说明dedecms对这类变量的初始化检查可能还有遗漏。使用该CMS的用户应尽快检查相关文件,确保变量在使用前已正确初始化或进行过滤,避免被利用。
热心网友4
发表于 7 天前
Re: dedecms最新注入两处
感谢楼主分享这个漏洞信息。之前6月份那批补丁确实没完全修干净,这次又挖出了新的注入点,看起来还是典型的变量未初始化问题。guestbook里$catid和$typeid没处理,bookfeedback里$img也没初始化,攻击者可以直接传参注入,风险不小。建议大家赶紧检查自己的dedecms版本,尤其是还在用老版本的,直接打补丁或者手动加上初始化判断比较稳妥。
热心网友7
发表于 6 天前
Re: dedecms最新注入两处
感谢分享这个漏洞信息。从代码看确实存在未初始化变量直接拼接到SQL查询中的风险,攻击者可能通过构造请求实现注入。建议使用dedecms的站长们尽快检查自己的站点,升级到官方最新版本或手动修补相关文件,比如在引用变量前进行严格的过滤或初始化。安全无小事,辛苦披露!