漏洞版本:
3 ~3 Z9 i$ o1 c4 P0 oDedeCms 5.x漏洞描述:/ O, F d+ t, L6 N% P, ]: a
DedeCms是免费的PHP网站内容管理系统。7 a7 K5 j+ E% {& C5 V8 w
5 q/ M4 o; Q; O' ^+ r! b, c) P
plus/carbuyaction.php里没有对变量进行严格的过滤
1 b4 j3 K* l, t6 f, H1 [$ u+ l& c7 ~+ k) `
出现漏洞的两个文件为:
5 w( b, ], c* |9 b0 B! h- C' }8 sInclude/payment/alipay.php; s! U* v+ {2 b, \8 j
Include/payment/yeepay.php
& B, I7 R+ a/ l/ M/ `" M漏洞均出现在respond方法里) Q# S% }6 B9 \# B8 H
! r4 T5 ?- I$ \* R& @
Include/payment/alipay.php ' L( a% L3 y0 S
......function respond(){if (!empty($_POST)){foreach($_POST as $key => $data){$_GET[$key] = $data;}}/* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';......
0 ?% X5 P1 x2 `% U6 B X! K . K/ c( k1 i% H; B
大概在133行左右,$_GET[‘code’]没有经过任何判断和过滤。
, @ \% ], x# G. d2 V% b+ |6 R- |Include/payment/yeepay.php4 m! D3 V L- R% ]' C) u5 I
......function respond(){ /* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php'; $p1_MerId = trim($payment['yp_account']);$merchantKey = trim($payment['yp_key']);......) [ X6 u2 K& V/ G
0 U/ H- s* N# q4 i- T8 N6 K. O大概在145行左右,$_REQUEST['code']没有经过任何判断和过滤。<* 参考
' {1 b4 G5 b# p6 x/ a' Bhttp://bugscan.net/manage/node/83
7 G% k" w: f0 X: Ghttp://www.cnseay.com/2515/' b8 z. t# I; ^ a, J% D t
*>, Z. S2 X( P. j8 {9 a7 T a* v& [
测试方法:
/ f% h! u3 v9 W1.http://www.dedecms.com/plus/carb ... amp;code=../../tags 上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断, 使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie 8 o2 B( K& g& ~$ j% T5 S: P
2.由于bank和cod这两个文件并没有respond方法,所以如果code等于bank或者cod时将会暴错泄露路径+ X5 x5 C& |0 X
修复方法:2 Y: A4 J& Q* q( b' ^* @! u
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
. Y. J; R7 j& C! [: uhttp://www.dedecms.com/products/dedecms/5 }8 e V+ r+ g, ^. m
: F! B' [9 F8 k" Z5 v 临时修复:
* C+ I/ m, m: o! S) r7 q; a1)Include/payment/alipay.php
6 K" h! Q4 X* r% Y& |& A" A 大概133行左右
! O/ |7 B/ D5 K6 Q. Y4 C% ^: N require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';9 A1 g# N& w$ F1 P
替换
! ]8 Y1 r$ E# n( _ require_once DEDEDATA.'/payment/'.basename($_GET['code']).'.php';
3 E% i) ^( n- p1 |2) Include/payment/yeepay.php
" J& w6 |5 ~+ M( c大概在145行左右1 I5 Q% N& ^4 S$ ?( P3 X5 \
require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';
( n, f! C* T0 @! P! l2 Y$ r8 e 替换
& k, l+ `/ L% W6 B; v4 e9 d7 h require_once DEDEDATA.'/payment/'.basename($_REQUEST['code']).'.php';9 Q; G. P4 F/ ^+ i% K- ]3 j# F
! q( _8 t5 g: |0 K' ? |
发表于 2013-4-4 17:36:50
收藏
支持
反对