漏洞版本:
7 O! H- m5 Y$ j0 o ?7 cDedeCms 5.x漏洞描述:
* h8 Q3 a6 X( ]6 ADedeCms是免费的PHP网站内容管理系统。
/ v" t- C* \/ J2 Y6 p' w
4 d1 f# n# \8 \2 v' [plus/carbuyaction.php里没有对变量进行严格的过滤5 B* ^6 ~6 H3 ]9 G2 O
6 V. T& B# j" a5 R出现漏洞的两个文件为:9 X: h) b; N, ~' Y
Include/payment/alipay.php
/ e5 Q% `" t2 q9 T' KInclude/payment/yeepay.php
' {6 J4 m# l' d; e1 A1 }漏洞均出现在respond方法里1 J0 V9 m6 h0 C4 ~ ?8 H
/ v8 Z' D' f) U7 o. ]9 j; b; kInclude/payment/alipay.php ! }4 k1 N+ g& ], H2 r" k* v8 @
......function respond(){if (!empty($_POST)){foreach($_POST as $key => $data){$_GET[$key] = $data;}}/* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';......; _) x5 T6 Q0 f$ y% C& m6 p! y i
( R, P$ s; a! h" Y* s1 t `+ s大概在133行左右,$_GET[‘code’]没有经过任何判断和过滤。/ r' E; j7 `- I3 e
Include/payment/yeepay.php$ E! k# i F+ g# ]
......function respond(){ /* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php'; $p1_MerId = trim($payment['yp_account']);$merchantKey = trim($payment['yp_key']);......: |! l, R& [; w. @" a D5 w
+ ^0 i6 k; } k5 @# ?$ v大概在145行左右,$_REQUEST['code']没有经过任何判断和过滤。<* 参考5 m; g* r8 G( `3 `, y# O. t
http://bugscan.net/manage/node/83* r% [! w7 c, f; |5 ] x( l$ _
http://www.cnseay.com/2515/9 G% v$ R* ]* Y1 L
*>
/ t A* }9 b" `) \7 s测试方法:, M& v2 d" \4 r6 T/ a, b1 p
1.http://www.dedecms.com/plus/carb ... amp;code=../../tags 上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断, 使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie
1 U. @7 [; E7 _ X7 o2.由于bank和cod这两个文件并没有respond方法,所以如果code等于bank或者cod时将会暴错泄露路径
4 g# Z5 h& W* r$ M9 z* {9 Q& j+ {修复方法:4 V3 S$ a" y4 y" e
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
# E) d& _* V, S, [3 uhttp://www.dedecms.com/products/dedecms/
3 z( t7 l1 J/ R+ J, ?) k
0 [) i" h) v5 K0 u, ~! g. n 临时修复: , y: A* b; k ]5 s$ I
1)Include/payment/alipay.php
, S3 r' f% S6 \7 t, b- s' |$ c 大概133行左右7 |* W" a, H3 `& P& q
require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';
! u* [) o0 X" F" w3 e# a) S+ Q替换5 A' A8 C* m R5 t& D* M
require_once DEDEDATA.'/payment/'.basename($_GET['code']).'.php'; @+ r7 d4 W4 m- f9 J0 A3 P
2) Include/payment/yeepay.php
, Q0 n) \; k& i; F; @: e大概在145行左右
$ h* E) z- J; t" t require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';
) |: D o( @4 {( h& O, H# y/ | 替换
( d6 v7 a9 N- ~: X require_once DEDEDATA.'/payment/'.basename($_REQUEST['code']).'.php';' d+ p4 ?2 r, V- X4 H9 d7 E' I; J/ j
+ c" c) k3 T- J: b. c. [3 f |