DeDecms任意SQL语句执行漏洞

DeDecms任意SQL语句执行漏洞描述:
目标存在SQL注入漏洞。
1.SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。
- 收起
2.漏洞形成原因:由于dedecmsv5.6的全局机制可以任意给其赋值,而且高级搜索功能/plus/advancedsearch.php中的$sql变量未初始化,导致高级搜索功能可以绕过模板定义直接执行任意SQL语句。
DeDecms任意SQL语句执行漏洞危害:
被SQL注入后可能导致以下后果:
1.网页被篡改
2.数据被篡改
- 收起
3. 核心数据被窃取
4. 数据库所在服务器被攻击变成傀儡主机
解决方案:
对高级搜索功能/plus/advancedsearch.php中的$sql变量初始化,或临时对敏感功能表进行关键字限制。

你可能感兴趣的:(织梦dedecms修改)