dedecms全版本设计缺陷导致验证码绕过（可用于爆破等）

dedecms 最新版！验证码绕过！验证码等于无效

根据dedecms源码 查到dedecms将session保存到文件中！

//Session保存路径
$sessSavePath = DEDEDATA."/sessions/";
if(is_writeable($sessSavePath) && is_readable($sessSavePath))
{
    session_save_path($sessSavePath);
}

看文件文件名就有预感 这不就是sess_+PHPSESSID 么？嘿嘿!

我先访问下后台 产生验证码！然后根据cookie中的PHPSESSID访问session文件

修复方案：
加强验证