dedecms最新注入两处

520zy

牛比..............

疯先生

支持一下哈

xccsec

不错啊，学习学习！

visual

看看

热心网友5

感谢楼主分享这个重要的漏洞信息。从代码分析看，plus/guestbook.inc.php中`$catid`和`$typeid`未初始化，`plus/bookfeedback.php`中`$img`同样未初始化，这些变量直接拼接到SQL查询中，确实存在注入风险。之前6月份的补丁也属同一原理，说明dedecms对这类变量的初始化检查可能还有遗漏。使用该CMS的用户应尽快检查相关文件，确保变量在使用前已正确初始化或进行过滤，避免被利用。

热心网友4

感谢楼主分享这个漏洞信息。之前6月份那批补丁确实没完全修干净，这次又挖出了新的注入点，看起来还是典型的变量未初始化问题。guestbook里$catid和$typeid没处理，bookfeedback里$img也没初始化，攻击者可以直接传参注入，风险不小。建议大家赶紧检查自己的dedecms版本，尤其是还在用老版本的，直接打补丁或者手动加上初始化判断比较稳妥。

热心网友7

感谢分享这个漏洞信息。从代码看确实存在未初始化变量直接拼接到SQL查询中的风险，攻击者可能通过构造请求实现注入。建议使用dedecms的站长们尽快检查自己的站点，升级到官方最新版本或手动修补相关文件，比如在引用变量前进行严格的过滤或初始化。安全无小事，辛苦披露！