当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014076

漏洞标题:dedeCMS 最新注入漏洞一枚

相关厂商:DeDeCMS

漏洞作者: cyg07

提交时间:2012-10-30 19:56

修复时间:2012-10-31 13:49

公开时间:2012-10-31 13:49

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:7

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-10-30: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-10-31: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

hf
由于对参数的变量未作初始化检测及使用了类反射的技巧导致 plus\feedback.php 中变量 $typeid 存在注入风险。

详细说明:

由于官方已经发布补丁,而且漏洞未提供POC攻击代码,故此漏洞提前公开。
补丁地址:http://bbs.dedecms.com/551651.html


构造的方式我不提供了,但是你有心阅读下代码就会明白了。

...
if($comtype == 'comments')
{
$arctitle = addslashes($title);
if($msg!='')
{
$inquery = "INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`, `mid`,`bad`,`good`,`ftype`,`face`,`msg`)
VALUES ('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime', '{$cfg_ml->M_ID}','0','0','$feedbacktype','$face','$msg'); ";
$rs = $dsql->ExecuteNoneQuery($inquery);
if(!$rs)
{
ShowMsg(' 发表评论错误! ', '-1');
//echo $dsql->GetError();
exit();
}
}
}
//引用回复
elseif ($comtype == 'reply')
{
$row = $dsql->GetOne("SELECT * FROM `#@__feedback` WHERE id ='$fid'");
$arctitle = $row['arctitle'];
$aid =$row['aid'];
$msg = $quotemsg.$msg;
$msg = HtmlReplace($msg, 2);
$inquery = "INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`,`mid`,`bad`,`good`,`ftype`,`face`,`msg`)
VALUES ('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime','{$cfg_ml->M_ID}','0','0','$feedbacktype','$face','$msg')";
$dsql->ExecuteNoneQuery($inquery);
}

漏洞证明:

下面我给出一张带了echo信息的问题结果演示。

修复方案:

今天突发想作作代码审计,dedecms中HTTP的输入上用类反射这个技巧第一次见(好吧,我承认我是第一次玩PHP代码审计)。
建议考虑在反射上作得全面点,支持输入参数的类型和开发对应的过滤器作到更灵活更安全,这会给你们解决其中很多没反馈的问题。
gl

版权声明:转载请注明来源 cyg07@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:8 (WooYun评价)