织梦(DEDE)CMS V5.3 覆盖任意变量导致远程包含漏洞

基本字段

漏洞编号：: SSV-26136

披露/发现时间：: 未知

提交时间：: 2011-12-31

漏洞等级：

漏洞类别：: 远程文件包含

影响组件：: DedeCMS

漏洞作者：: 未知

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

漏洞详情

贡献者 Knownsec 共获得 0.15KB

织梦内容管理系统,最强大的中文开源CMS网站管理项目,使用PHP+MySQL架构。在文件include/common.inc.php中： <code>foreach($_REQUEST as $_k=>$_v) //第10行 { if( strlen($_k)>0 && eregi('^(_|cfg_|GLOBALS)',$_k) && !isset($_COOKIE[$_k]) ) { exit('Request var not allow!'); } } //如果以cfg_开头的变量以cookie方式提交就可以通过。 if($_FILES) //第154行 { require_once(DEDEINC.'/uploadsafe.inc.php'); }</code> 文件uploadsafe.inc.php主要代码： <code>$keyarr = array('name','type','tmp_name','size'); //第15行 foreach($_FILES as $_key=>$_value) { foreach($keyarr as $k) { if(!isset($_FILES[$_key][$k])) { exit('Request Error!'); } } $$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\","\\",$_FILES[$_key]['tmp_name']); //结合上面的通过cookie提交变量和这里的覆盖变量，就可以覆盖任意的变量。</code> 文件plus/ flink_add.php代码如下： require_once(dirname(__FILE__)."/../include/common.inc.php"); //显示模板(简单PHP文件) include_once($cfg_basedir.$cfg_templets_dir."/plus/flink-add.htm"); 覆盖掉变量$cfg_basedir就可以远程包含织梦内容管理系统,最强大的中文开源CMS网站管理项目,使用PHP+MySQL架构。在文件include/common.inc.php中： <pre class="prettyprint linenums">foreach($_REQUEST as $_k=>$_v) //第10行 { if( strlen($_k)>0 && eregi('^(_|cfg_|GLOBALS)',$_k) && !isset($_COOKIE[$_k]) ) { exit('Request var not allow!'); } } //如果以cfg_开头的变量以cookie方式提交就可以通过。 if($_FILES) //第154行 { require_once(DEDEINC.'/uploadsafe.inc.php'); }</pre> 文件uploadsafe.inc.php主要代码： <pre class="prettyprint linenums">$keyarr = array('name','type','tmp_name','size'); //第15行 foreach($_FILES as $_key=>$_value) { foreach($keyarr as $k) { if(!isset($_FILES[$_key][$k])) { exit('Request Error!'); } } $$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\","\\",$_FILES[$_key]['tmp_name']); //结合上面的通过cookie提交变量和这里的覆盖变量，就可以覆盖任意的变量。</pre> 文件plus/ flink_add.php代码如下： require_once(dirname(__FILE__)."/../include/common.inc.php"); //显示模板(简单PHP文件) include_once($cfg_basedir.$cfg_templets_dir."/plus/flink-add.htm"); 覆盖掉变量$cfg_basedir就可以远程包含织梦(DEDE)CMS V5.3 厂商补丁: DEDECMS ------------ 目前厂商有提供补丁或者升级程序，我们建议使用此软件的用户获取最新版本： http://www.dedecms.com/