安全通告

DedeCMS未授权远程命令执行漏洞安全风险通告

发布日期：2021-10-9

漏洞描述

2021年10月9日，监测到一则DedeCMS组件存在远程命令执行漏洞的信息。

该漏洞是由于DedeCMS存在变量覆盖漏洞，攻击者可利用该漏洞在未授权的情况下，构造恶意代码配合模板文件包含功能造成远程命令执行攻击，最终获取服务器最高权限。

DedeCMS可以运行在几乎所有计算机平台上，由于其跨平台和安全性被广泛使用，成为最流行的内容管理系统之一。全球有数百万站点采用DedeCMS建站，可能受漏洞影响的资产广泛分布于世界各地，其中美国数量最多，中国第二。

对此，禹宏信安建议受影响的用户及时更新升级到最新版本。

漏洞危害

攻击者可利用该漏洞在未授权的情况下，构造恶意代码配合模板文件包含功能造成远程命令执行攻击，最终获取服务器最高权限。

漏洞等级

高危
受影响版本

< DedeCMS v5.7.8

修复方案

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。

链接如下：https://github.com/dedecms/DedeCMS

获取可用于生产的正式版请访问：http://www.dedecms.com 或 https://github.com/dedecms/DedeCMS/releases

参考链接

• https://srcincite.io/blog/2021/09/30/chasing-a-dream-pwning-the-biggest-cms-in-china.html