DEDECMS支付插件存在SQL注入漏洞

2017年6月4日 建站技术 浏览 346 龙8国际 A+

DEDECMS支付插件存在SQL注入漏洞

DEDECMS支付插件存在SQL注入漏洞,此漏洞存在于/include/payment/alipay.php文件中,对输入参数$_GET['out_trade_no']未进行严格过滤。

漏洞文件:/include/payment/alipay.php

修补方法:

找到漏洞文件中的这一句(如果没有大的修改一般在137行):

$order_sn = trim($_GET['out_trade_no']);

替换为:

$order_sn = trim(addslashes($_GET['out_trade_no']));

保存上传覆盖即可修复此漏洞。

发表评论

:?::razz::sad::evil::!::smile::oops::grin::eek::shock::???::cool::lol::mad::twisted::roll::wink::idea::arrow::neutral::cry::mrgreen: