漏洞版本:, d) B, t1 M2 f) ~" U V2 T7 r
DedeCms 5.x漏洞描述:% l- f/ P m6 X% }2 B
DedeCms是免费的PHP网站内容管理系统。: p4 z! E3 v' N; L/ J3 w% E9 `) z
# }8 m5 d! r: n1 ^plus/carbuyaction.php里没有对变量进行严格的过滤$ _4 G* |; E3 B6 D" z& O
' Z( x" m7 i" g9 K/ g7 c出现漏洞的两个文件为:$ I5 k2 A: @: ^9 z& _2 g H
Include/payment/alipay.php6 H# F$ `5 }( {7 {
Include/payment/yeepay.php
! u( k/ i+ P& r漏洞均出现在respond方法里
; P# M( F4 a% j/ V% N( A6 j& Z3 g n2 M3 K1 y3 @( A
Include/payment/alipay.php
9 y4 C+ y& i& p7 J3 H. d......function respond(){if (!empty($_POST)){foreach($_POST as $key => $data){$_GET[$key] = $data;}}/* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';......4 o4 e# A5 L" ?3 i+ F& Y
. F# c, h1 `- e3 _4 i) |大概在133行左右,$_GET[‘code’]没有经过任何判断和过滤。
- E; B9 [; b1 R4 P% A2 N: F. _Include/payment/yeepay.php0 \ _" U! B. P9 `1 ~% _; }! O
......function respond(){ /* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php'; $p1_MerId = trim($payment['yp_account']);$merchantKey = trim($payment['yp_key']);......
* r# Q* H. p4 m( W8 L! @, t4 G+ _ * E3 z. o! c9 G" { e) d* h; M
大概在145行左右,$_REQUEST['code']没有经过任何判断和过滤。<* 参考. W) m7 z5 g1 K' B
http://bugscan.net/manage/node/832 l$ }0 k5 P) v: K X8 T& K& M
http://www.cnseay.com/2515/
' ~3 }+ Q& u& n8 e9 C1 X*>
, V2 }5 h5 ~- M" @) J测试方法:( D `6 X; g; f. [
1.http://www.dedecms.com/plus/carb ... amp;code=../../tags 上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断, 使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie
4 ~( e3 P) L! Y9 s) H9 t9 d Y$ e2.由于bank和cod这两个文件并没有respond方法,所以如果code等于bank或者cod时将会暴错泄露路径3 w" c d2 \+ S. X7 R1 i
修复方法:
8 c& k/ h4 X: s3 Z; O1 P目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:# A% ^, l5 t! Z) W0 q$ t
http://www.dedecms.com/products/dedecms/2 O5 O- P; i9 b/ m( _" }6 i
9 I( W& j F% p6 T7 h6 _- p 临时修复:
/ `4 t) X4 X' Z5 T& N% \1)Include/payment/alipay.php
, p9 _; m; Z& s1 `+ n$ i 大概133行左右
! H6 f Q. r/ P) @% P require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';
" T; |5 T1 R! |, V替换
7 L, r" \7 z! \2 l1 `2 h2 K require_once DEDEDATA.'/payment/'.basename($_GET['code']).'.php'; m8 @0 z. [' d' x- J0 V' t# c6 P% G
2) Include/payment/yeepay.php0 _9 t) N! |7 V H+ [( B: ~" w! l5 m8 j
大概在145行左右
& p6 d9 B" }% ~7 v1 N+ Y% P, X require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';; G2 }/ c1 v W5 }1 Z$ n
替换9 k/ _5 f6 o" F; j
require_once DEDEDATA.'/payment/'.basename($_REQUEST['code']).'.php';
9 F/ o" e, }+ B. \ ( E2 {( @/ { ~: v
|