• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 應(yīng)用
  • -
    • DedeCMS未授權(quán)遠(yuǎn)程命令執(zhí)行漏洞
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:未知
    • 漏洞類型: 遠(yuǎn)程命令執(zhí)行
    • 威脅類型:遠(yuǎn)程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時(shí)間:2021-10-11
    • 更新時(shí)間:2021-10-11

    漏洞簡介

    1、組件介紹

    DedeCMS是國內(nèi)專業(yè)的PHP網(wǎng)站內(nèi)容管理系統(tǒng)-織夢內(nèi)容管理系統(tǒng),采用XML名字空間風(fēng)格核心模板:模板全部使用文件形式保存,對用戶設(shè)計(jì)模板、網(wǎng)站升級轉(zhuǎn)移均提供很大的便利,健壯的模板標(biāo)簽為站長DIY自己的網(wǎng)站提供了強(qiáng)有力的支持。高效率標(biāo)簽緩存機(jī)制:允許對同類的標(biāo)簽進(jìn)行緩存,在生成 HTML的時(shí)候,有利于提高系統(tǒng)反應(yīng)速度,降低系統(tǒng)消耗的資源。模型與模塊概念并存:在模型不能滿足用戶所有需求的情況下,DedeCMS推出一些互動(dòng)的模塊對系統(tǒng)進(jìn)行補(bǔ)充,盡量滿足用戶的需求。眾多的應(yīng)用支持:為用戶提供了各類網(wǎng)站建設(shè)的一體化解決方案。

    2、漏洞描述

    2021年10月9日,深信服安全團(tuán)隊(duì)監(jiān)測到一則DedeCMS組件存在遠(yuǎn)程命令執(zhí)行漏洞的信息,漏洞威脅等級:高危。

    該漏洞是由于DedeCMS存在變量覆蓋漏洞,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意代碼配合模板文件包含功能造成遠(yuǎn)程命令執(zhí)行攻擊,最終獲取服務(wù)器最高權(quán)限。

    漏洞公示

    暫無

    參考網(wǎng)站

    暫無

    受影響實(shí)體

    DedeCMS可以運(yùn)行在幾乎所有計(jì)算機(jī)平臺上,由于其跨平臺和安全性被廣泛使用,成為最流行的內(nèi)容管理系統(tǒng)之一。全球有數(shù)百萬站點(diǎn)采用DedeCMS建站,可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,其中美國數(shù)量最多,中國第二。

    國內(nèi)省份中主要分布在廣東、山東、北京、上海、江蘇、浙江等省市。

    目前受影響的DedeCMS版本:

    正式版:< DedeCMS v5.7.8

    內(nèi)測版:<= DedeCMS v5.8.1_beta

    補(bǔ)丁

    1、如何檢測組件系統(tǒng)版本

    訪問以下鏈接:

    http://目標(biāo)域名/data/admin/ver.txt

    訪問后返回DedeCMS版本更新時(shí)間,對比DedeCMS系統(tǒng)補(bǔ)丁更新完整列表:

    http://www.dedecms.com/pl/

    可查看對應(yīng)的版本。在20210926(對應(yīng)DedeCMS v5.7.8版)之后的版本將受該漏洞影響。

    2、官方修復(fù)建議

    當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時(shí)更新升級到最新版本。鏈接如下:

    https://github.com/dedecms/DedeCMS

    3、深信服解決方案

    深信服安全云眼CloudEye】預(yù)計(jì)2021年10月11日,將完成檢測更新,對所有用戶網(wǎng)站探測,保障用戶安全。不清楚自身業(yè)務(wù)是否存在漏洞的用戶,可注冊信服云眼賬號,獲取30天免費(fèi)安全體驗(yàn)。

    注冊地址:http://saas.sangfor.com.cn

    深信服云鏡JY】預(yù)計(jì)2021年10月11日,將完成檢測能力的發(fā)布,部署了云鏡的用戶可以通過升級來快速檢測網(wǎng)絡(luò)中是否受該高危風(fēng)險(xiǎn)影響,避免被攻擊者利用。離線使用云鏡的用戶需要下載離線更新包來獲得漏洞檢測能力,可以連接云端升級的用戶可自動(dòng)獲得漏洞檢測能力。