织梦(Dedecms)V5.X 本地文件包含漏洞

admin

漏洞版本:
3 Q- y5 I7 D6 I& G6 m6 `DedeCms 5.x漏洞描述:
DedeCms是免费的PHP网站内容管理系统。

plus/carbuyaction.php里没有对变量进行严格的过滤
% `# E; p, H- S
- X( Z( [, B. w8 G出现漏洞的两个文件为：
8 ~4 P7 u7 j' G& k# p% x7 R5 MInclude/payment/alipay.php
Include/payment/yeepay.php
漏洞均出现在respond方法里

Include/payment/alipay.php
......function respond(){if (!empty($_POST)){foreach($_POST as $key => $data){$_GET[$key] = $data;}}/* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';......
                       
+ k8 G) c3 K4 X; R7 x* _" z, K大概在133行左右，$_GET[‘code’]没有经过任何判断和过滤。
Include/payment/yeepay.php
, j" F3 q! @( J9 A: l" c5 Z7 n......function respond(){ /* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php'; $p1_MerId = trim($payment['yp_account']);$merchantKey = trim($payment['yp_key']);......
                       
+ W" |* A( q5 n: ~5 X大概在145行左右，$_REQUEST['code']没有经过任何判断和过滤。<* 参考
http://bugscan.net/manage/node/83
' {3 k' Z( Q. z% D) Vhttp://www.cnseay.com/2515/
* Q5 d( }( |: F- g3 x& s& ?2 [# b*>
7 k7 V! r, u5 `6 r测试方法:
5 d, g. o; ^$ W' [1.http://www.dedecms.com/plus/carb ... amp;code=../../tags 上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断， 使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie
9 A6 {& q7 D! a  V1 W- L+ X2.由于bank和cod这两个文件并没有respond方法，所以如果code等于bank或者cod时将会暴错泄露路径
修复方法:
7 M5 r: _4 f3 s4 F9 C6 W$ [目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
4 b9 ^( p6 B4 b5 R( chttp://www.dedecms.com/products/dedecms/
+ t& R4 _+ N! P2 m
' w4 \2 V1 F  E: C- G# F8 J 临时修复：
1)Include/payment/alipay.php
  大概133行左右
7 `  H# K/ U) M; v4 F, _9 P. u  require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';
) B6 ~8 ]( N  z% t) e替换
require_once DEDEDATA.'/payment/'.basename($_GET['code']).'.php';
( Y6 V" \4 F- g5 x) Z5 j* f2) Include/payment/yeepay.php
大概在145行左右
2 d% R  T( W7 R require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';
$ G' g% M% i0 @4 l' @) n9 _ 替换
require_once DEDEDATA.'/payment/'.basename($_REQUEST['code']).'.php';
8 C4 \% P, W1 s+ |
* f4 j( f& ]5 s+ S3 O6 Z; X