安全通告

DedeCMS未授權(quán)遠(yuǎn)程命令執(zhí)行漏洞安全風(fēng)險(xiǎn)通告

發(fā)布日期：2021-10-9

?

漏洞描述

2021年10月9日，監(jiān)測(cè)到一則DedeCMS組件存在遠(yuǎn)程命令執(zhí)行漏洞的信息。

該漏洞是由于DedeCMS存在變量覆蓋漏洞，攻擊者可利用該漏洞在未授權(quán)的情況下，構(gòu)造惡意代碼配合模板文件包含功能造成遠(yuǎn)程命令執(zhí)行攻擊，最終獲取服務(wù)器最高權(quán)限。

DedeCMS可以運(yùn)行在幾乎所有計(jì)算機(jī)平臺(tái)上，由于其跨平臺(tái)和安全性被廣泛使用，成為最流行的內(nèi)容管理系統(tǒng)之一。全球有數(shù)百萬(wàn)站點(diǎn)采用DedeCMS建站，可能受漏洞影響的資產(chǎn)廣泛分布于世界各地，其中美國(guó)數(shù)量最多，中國(guó)第二。

對(duì)此，禹宏信安建議受影響的用戶及時(shí)更新升級(jí)到最新版本。

漏洞危害

攻擊者可利用該漏洞在未授權(quán)的情況下，構(gòu)造惡意代碼配合模板文件包含功能造成遠(yuǎn)程命令執(zhí)行攻擊，最終獲取服務(wù)器最高權(quán)限。

漏洞等級(jí)

高危
受影響版本

< DedeCMS v5.7.8

修復(fù)方案

當(dāng)前官方已發(fā)布最新版本，建議受影響的用戶及時(shí)更新升級(jí)到最新版本。

鏈接如下：https://github.com/dedecms/DedeCMS

獲取可用于生產(chǎn)的正式版請(qǐng)?jiān)L問(wèn)：http://www.dedecms.com?或?https://github.com/dedecms/DedeCMS/releases

參考鏈接

• https://srcincite.io/blog/2021/09/30/chasing-a-dream-pwning-the-biggest-cms-in-china.html