dedecms支付模块注入漏洞

2017-10-15 漏洞修复 浏览 手机预览
文章来源:http://www.dedecmsok.com/html/n163.html

漏洞名称:dedecms支付模块注入漏洞

危险等级:★★★★★(高危)

漏洞文件:/include/payment/alipay.php

披露时间:2016-10-31

官方修复:官方网站的 V5.7SP2正式版 (2018-01-09)已经修复该漏洞

漏洞描述:DEDECMS支付插件存在SQL注入漏洞,此漏洞存在于/include/payment/alipay.php文件中,对输入参数$_GET['out_trade_no']未进行严格过滤。


修复方法:
打开/include/payment/alipay.php
找到大概第137行的代码:

$order_sn = trim($_GET['out_trade_no']);

修改为:

$order_sn = trim(addslashes($_GET['out_trade_no']));

红色标示的即是修改的部分:

$order_sn = trim(addslashes($_GET['out_trade_no']));


原文地址:http://www.dedecmsok.com/html/n163.html
  • 如果你的问题还没有解决,可以点击页面右侧的“ ”,站长收到问题后会尽快回复解决方案到你的邮箱。
  • 创造始于问题,有了问题才会思考,有了思考,才有解决问题的方法,才有找到独立思路的可能。 —— 陶行知