热门搜索词

热门文章

  • [公告]9月30日知道创宇云防御节点更新...

    为提供更好更优质的云防御服务,我们近期将对香港机房进行升级优化,其中涉及节点IP段变更。若您的网站前端有安全防护设备,请于 2024年9月30日17:00前 将 IPv4网段:154.93.109.0/25、IPv6网段:2404:a140:3:15::/64 设置为白名单。

  • [公告]9月25日长沙移动机房割接通知

    接湖南移动运营商通知,将于北京时间2024-09-25 00:00至2024-09-25 06:00对长沙移动机房进行割接维护,涉及 IP段36.158.231.0/24 、2409:8C50:0A00:2163::/64。

  • [公告]9月13日长沙移动机房割接通知

    接湖南移动运营商通知,将于北京时间2024-09-13 00:00至2024-09-13 06:00对长沙移动机房进行割接维护,涉及 IP段36.158.231.0/24 、2409:8C50:0A00:2163::/64。

关注知道创宇云防御

获取最新安全动态

DedeCMS再曝Sql注入漏洞 加速乐发布临时补丁

来源:知道创宇云防御 2013.04.01

继加速乐于2013年03月29日预警“dedecms(织梦CMS)本地包含漏洞”(http://jiasule.com/news/5155448375db5c2f03000000/ )后,近日,国内著名第三方漏洞平台wooyun曝光了dedecms(织梦CMS)一个的sql注入漏洞细节,经知道创宇网站安全中心研究人员分析发现,该漏洞与知道创宇安全研究人员之前自主发现上并报给官方的sql注入漏洞为同一个漏洞。目前官方还没有给出任何的解决方案及补丁方式,该漏洞仍属“0day漏洞”。我们再次发出预警,提醒站长们注意,该漏洞属于“高危”漏洞,可以导致攻击者控制网站服务器,最终实现“挂马”、恶意篡改”、“脱库”等恶意攻击。我们已积极再次联系dedecms官方,希望得到官方重视!请各位站长关注我们的微博及官方消息,复查网站安全。同时知道创宇安全防护产品加速乐可成功防御该漏洞,加速乐用户不受此漏洞影响!

关于dedecms(织梦CMS)

DedeCMS基于PHP+MySQL的技术开发,支持多种服务器平台,从2004年开始发布第一个版本开始,至今已经发布了五个大版本。DedeCMS以简单、健壮、灵活、开源几大特点占领了国内CMS的大部份市场,目前已经有超过35万个站点正在使用DedeCMS或基于DedeCMS核心开发,产品安装量达到95万。是目前国内最常见的建站程序之一,也是“黑客”密切关注的对象!
官方网站:www.dedecms.com

4月2日最新消息:截止目前织梦CMS官方已经发布更新补丁,加速乐强烈建议站长朋友们及时更新补丁,确保网站安全:http://www.dedecms.com/products/dedecms/downloads/

推荐使用加速乐防御此类漏洞,同时建议广大站长启用以下临时补丁修复漏洞。

临时安全补丁
/plus/feedback.php 264-265行里的代码:

        $arctitle = $row['arctitle'];
        
改为:

        $arctitle = addslashes($row['arctitle']);

名词解释

0day漏洞:是指已经被发现(有可能未被公开),而官方还没有相关补丁的漏洞。

sql注射漏洞:是应用程序常见的一种漏洞类型,也叫“SQL Injection”或“sql注入”。可以直接危及到网站数据安全导致网站“脱库”,甚至直接危及到网站服务器系统安全。属于“高危”漏洞。

关于加速乐及知道创宇

“加速乐”(www.jiasule.com)是中国领先的互联网安全提供商知道创宇推出的一款在线免费网站CDN加速、网站安全防护平台。致力于系统化解决网站访问速度过慢及网站反黑客问题。

“知道创宇”(www.knownsec.com)全称为北京知道创宇信息技术有限公司。是国内最早提出网站安全云监测及云防御的高新企业,始终致力于为客户提供基于云技术支撑的下一代Web安全解决方案。知道创宇总部设在北京,在香港、上海、广州、成都设有分公司,客户及合作伙伴来自中国、美国、日本、韩国等。凭借强大的云安全技术与产品的高可用性、易管理性、合规性和业务连续性、以及动态保障关键Web数据资产安全的能力,帮助用户应对变化多端的互联网安全威胁,赢得了企业、政府与公共机构的青睐。知道创宇安全实验室在零日安全威胁与云安全技术方面的研究得到了业内的广泛认同并享有极高知名度。

售前支持

400-161-0866