dedecms支付模块注入漏洞

标题: dedecms支付模块注入漏洞

披露时间: 2016-10-31 15:44:25

简介:

DEDECMS支付插件存在SQL注入漏洞，此漏洞存在于/include/payment/alipay.php文件中，对输入参数$_GET['out_trade_no']未进行严格过滤。

解决办法：

DEDECMS支付插件存在SQL注入漏洞，此漏洞存在于/include/payment/alipay.php文件中，对输入参数$_GET['out_trade_no']未进行严格过滤。

漏洞文件：/include/payment/alipay.php

修补方法：

找到漏洞文件中的这一句（如果没有大的修改一般在137行）：

1	$order_sn = trim($_GET['out_trade_no']);

替换为：

1	$order_sn = trim(addslashes($_GET['out_trade_no']));

保存上传覆盖即可修复此漏洞。

本文链接二维码可以保存在本地：保存

http://phpersay.com/index.php?c=index&m=articleDetailInfo&id=88

分类 漏洞 | 浏览 (3410) | 赞 (0) | 踩 (0) | 作者:Ivan（一凡） | 2017-11-01 15:56:19 |

相关文章

1. dedecms任意文件上传漏洞media_add.php
2. dedecms留言板注入漏洞
3. dedecms cookies泄漏导致SQL漏洞
4. dedecms任意文件上传漏洞
5. dedecms SESSION变量覆盖导致SQL注入
6. dedecms模版SQL注入漏洞