dedecms5.7最新漏洞修复

文章来源：武汉八音猫科技有限公司    http:// www.bayinmao.com

最近发现织梦cms被挂马现象频繁，解决好好几个网站的问题，但是过不了多久，就又被攻击了，即使更改系统及ftp密码，也没有起到防御的作用，最后怀疑cms本身漏洞，于是采用工具扫描了一下，才发现问题的严重性，在这里发一下解决办法，也希望采用织梦cms的童鞋，尽快升级补丁。

1.修复：[高危]DedeCMS最新SQL注入漏洞

修复方法：1）下载补丁：http://updatenew.dedecms.com/base-v57/package/patch-v57&v57sp1-20130607.zip

2）将下载的include/dedesql.class.php替换网站目录下的原始文件。

2.修复：[高危]DedeCMS Dialog目录下配置文件XSS漏洞

修复方法：

定位到include/dialog/config.php文件，

在$gurl = "../../{$adminDirHand}/login.php?gotopage=".urlencode($dedeNowurl);上面添加如下语句：
$adminDirHand = HtmlReplace($adminDirHand, 1); 

3.修复：[高危]DedeCMS样式分享XSS漏洞

修复方法： plus目录下的bshare.php文件117行 $uuid = isset($uuid)? $uuid : '';改成 $uuid = isset($uuid)? htmlspecialchars($uuid) : '';

4.修复：[高危]Dedecms最新变量覆盖漏洞

修复方法：

在 /include/common.inc.php中找到如下代码

CheckRequest($_REQUEST);

在下面添加

CheckRequest($_COOKIE);

以上漏洞修复建议来自360网站安全监测：http://webscan.360.cn。

另外建议使用织梦程序的用户，要经常借助工具，扫描系统漏洞。等被攻击了就悔之晚矣！