织梦(Dedecms)V5.X 本地文件包含漏洞

admin

漏洞版本:
& ]2 J3 f' J5 z/ qDedeCms 5.x漏洞描述:
7 `+ e4 Z( _; J- N) N3 r6 Y. [DedeCms是免费的PHP网站内容管理系统。
% E% c8 Y6 k2 ~  X: S1 N" u- j
plus/carbuyaction.php里没有对变量进行严格的过滤
. u, {% d1 G3 O" z% W
出现漏洞的两个文件为：
Include/payment/alipay.php
) h+ ^0 k+ p4 EInclude/payment/yeepay.php
漏洞均出现在respond方法里

Include/payment/alipay.php
......function respond(){if (!empty($_POST)){foreach($_POST as $key => $data){$_GET[$key] = $data;}}/* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';......
                       
大概在133行左右，$_GET[‘code’]没有经过任何判断和过滤。
6 U) v! y1 F+ P, t5 J% [' yInclude/payment/yeepay.php
......function respond(){ /* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php'; $p1_MerId = trim($payment['yp_account']);$merchantKey = trim($payment['yp_key']);......
+ E- A$ a9 G3 y( e$ z                       
# ~+ ~6 n  F8 M  p大概在145行左右，$_REQUEST['code']没有经过任何判断和过滤。<* 参考
4 o/ l. n) ]* F- L* b( Ohttp://bugscan.net/manage/node/83
http://www.cnseay.com/2515/
3 L- r( K  c4 }' g*>
8 X' v$ O+ s- L! n) M: r$ q测试方法:
1.http://www.dedecms.com/plus/carb ... amp;code=../../tags 上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断， 使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie
& E  g% S! p) A# F% J2.由于bank和cod这两个文件并没有respond方法，所以如果code等于bank或者cod时将会暴错泄露路径
修复方法:
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.dedecms.com/products/dedecms/
8 M9 v5 O# \2 n2 V
4 k3 k2 @3 |6 y- b 临时修复：
1)Include/payment/alipay.php
3 p" Y  D$ F3 L. [+ H7 ^+ M4 O  大概133行左右
/ v* M) [; J2 g+ s$ X  require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';
替换
! i" ~! v6 |7 C  v2 F require_once DEDEDATA.'/payment/'.basename($_GET['code']).'.php';
7 D5 b; e6 F! ?. M& t2) Include/payment/yeepay.php
( ?( R' d4 L+ a" C- g1 i大概在145行左右
6 o0 I: e" k; F. @! I* y) g require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';
替换
require_once DEDEDATA.'/payment/'.basename($_REQUEST['code']).'.php';

1 g: q2 Z& V0 f$ @" I# Z2 A; n