dedecms支付模块注入漏洞
dedecms支付模块注入漏洞
标题: dedecms支付模块注入漏洞
披露时间: 2016-10-31 15:44:25
简介:
DEDECMS支付插件存在SQL注入漏洞,此漏洞存在于/include/payment/alipay.php文件中,对输入参数$_GET['out_trade_no']未进行严格过滤。
解决办法:
DEDECMS支付插件存在SQL注入漏洞,此漏洞存在于/include/payment/alipay.php文件中,对输入参数$_GET['out_trade_no']未进行严格过滤。
漏洞文件:/include/payment/alipay.php
修补方法:
找到漏洞文件中的这一句(如果没有大的修改一般在137行):
| 1 | $order_sn = trim($_GET['out_trade_no']); |
替换为:
| 1 | $order_sn = trim(addslashes($_GET['out_trade_no'])); |
保存上传覆盖即可修复此漏洞。
本文链接二维码可以保存在本地:保存
http://shixiangcun.cc/index.php?c=index&id=88&m=articleDetailInfo
分类 漏洞 | 浏览 (3970) | 赞 (0) | 踩 (0) | | 2017-11-01 15:56:19 |
相关文章
- dedecms任意文件上传漏洞media_add.php
- dedecms留言板注入漏洞
- dedecms cookies泄漏导致SQL漏洞
- dedecms任意文件上传漏洞
- dedecms SESSION变量覆盖导致SQL注入
- dedecms模版SQL注入漏洞