织梦再曝SQL注入漏洞 360提醒站长打补丁防拖库

知名第三方漏洞报告平台乌云再度曝光DedeCMS（织梦）建站系统SQL注入漏洞（http://zone.wooyun.org/content/2414）。攻击者可以借此漏洞实施攻击，直接窃取服务器数据。据360网站安全检测对注册用户的分析发现，半数以上使用DedeCMS系统的网站受到该漏洞威胁，并呈现爆发趋势。

DedeCMS（织 梦内容管理系统）曾多次被曝光安全风险。去年3月，织梦DedeCms 5.7 sp1官方安装包被黑客植入后门代码；同年11月，织梦plus\feedback.php语句被曝存在SQL注入漏洞，影响八成以上用户。由于 DedeCMS在国内应用广泛，本次曝光的漏洞已经影响网易、万网、人人、CSDN以及织梦官方演示站点，各站长应予以高度重视。

图1：前面通过is_numeric判断

据360安全工程师分析，本次曝光的SQL注入漏洞存在于/plus/search.php中，其中的$typeid变量被二次覆盖导致前面的判断失效，从而产生漏洞。而且，包括GBK版本和UTF-8版本的DedeCMS V5.7均存在这一漏洞。

图2：直接覆盖$typeid的值，导致SQL注入漏洞产生

图3：攻击者能直接利用该漏洞直获取网站数据库信息（demo）

目 前，织梦Dedecms官方已经发布官方补丁，360网站安全检测也向注册用户群发了告警邮件，提醒用户尽快打补丁，防止黑客拖库攻击。同时，360网站 工程师建议网站管理员及个人站长使用360网站安全检测平台对网站进行全面体检，掌握网站安全状况，并使用360网站卫士时刻保护网站安全。

来自 http://webscan.360.cn/news/news86