安全通告
DedeCMS未授权远程命令执行漏洞安全风险通告
发布日期:2021-10-9
漏洞描述
2021年10月9日,监测到一则DedeCMS组件存在远程命令执行漏洞的信息。
该漏洞是由于DedeCMS存在变量覆盖漏洞,攻击者可利用该漏洞在未授权的情况下,构造恶意代码配合模板文件包含功能造成远程命令执行攻击,最终获取服务器最高权限。
DedeCMS可以运行在几乎所有计算机平台上,由于其跨平台和安全性被广泛使用,成为最流行的内容管理系统之一。全球有数百万站点采用DedeCMS建站,可能受漏洞影响的资产广泛分布于世界各地,其中美国数量最多,中国第二。
对此,禹宏信安建议受影响的用户及时更新升级到最新版本。
漏洞危害
攻击者可利用该漏洞在未授权的情况下,构造恶意代码配合模板文件包含功能造成远程命令执行攻击,最终获取服务器最高权限。
漏洞等级
高危
受影响版本
< DedeCMS v5.7.8
修复方案
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。
链接如下:https://github.com/dedecms/DedeCMS
获取可用于生产的正式版请访问:http://www.dedecms.com 或 https://github.com/dedecms/DedeCMS/releases
参考链接
- https://srcincite.io/blog/2021/09/30/chasing-a-dream-pwning-the-biggest-cms-in-china.html