织梦(Dedecms)V5.X 本地文件包含漏洞

admin

漏洞版本:
  y* q4 R0 w1 @9 i! g, p) rDedeCms 5.x漏洞描述:
DedeCms是免费的PHP网站内容管理系统。

plus/carbuyaction.php里没有对变量进行严格的过滤
. S6 A# b; D( ~
出现漏洞的两个文件为：
: n$ r2 I0 Q; ~1 H3 n4 q& v1 A" FInclude/payment/alipay.php
9 S5 L, G( S/ s/ F0 B7 tInclude/payment/yeepay.php
0 j: q# @$ S6 M漏洞均出现在respond方法里

Include/payment/alipay.php
* N* q) p" n! r% k( O4 f......function respond(){if (!empty($_POST)){foreach($_POST as $key => $data){$_GET[$key] = $data;}}/* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';......
                       
大概在133行左右，$_GET[‘code’]没有经过任何判断和过滤。
Include/payment/yeepay.php
3 r$ G" e# ]" ?+ \: O  r( M......function respond(){ /* 引入配置文件 */require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php'; $p1_MerId = trim($payment['yp_account']);$merchantKey = trim($payment['yp_key']);......
9 V, g& a! V8 F5 \. F) x! B                       
大概在145行左右，$_REQUEST['code']没有经过任何判断和过滤。<* 参考
http://bugscan.net/manage/node/83
http://www.cnseay.com/2515/
*>
- l: d8 g  G; v9 l- a测试方法:
1.http://www.dedecms.com/plus/carb ... amp;code=../../tags 上面的Exp是包含根目录下的tags.php文件包含其他后缀请自行构造截断， 使用exp测试时须要自己添加一个code等于alipay或yeepay的cookie
2.由于bank和cod这两个文件并没有respond方法，所以如果code等于bank或者cod时将会暴错泄露路径
修复方法:
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
5 O' E* a, m+ G8 f1 Phttp://www.dedecms.com/products/dedecms/

临时修复：
1)Include/payment/alipay.php
  大概133行左右
  require_once DEDEDATA.'/payment/'.$_GET['code'].'.php';
替换
: e% U# C7 p" F4 j require_once DEDEDATA.'/payment/'.basename($_GET['code']).'.php';
2) Include/payment/yeepay.php
1 T4 J  l0 t) x) P4 s0 g大概在145行左右
7 \# q7 V) l: T: f require_once DEDEDATA.'/payment/'.$_REQUEST['code'].'.php';
替换
! t/ b5 S2 C, E; |- \9 R4 B require_once DEDEDATA.'/payment/'.basename($_REQUEST['code']).'.php';
6 v$ |$ k9 y! Y& [- Z