• 漏洞
dedecms v5.7 CSRF保護(hù)措施繞過漏洞
 
  • 簡介
Dedecms V5.7SP2正式版(2018-01-09),對(duì)函數(shù)輸出校驗(yàn)不當(dāng)導(dǎo)致可以傳入惡意數(shù)組繞過CSRF防御。
 
  • 文件
/dede/config.php
 
  • 修復(fù)
打開 /dede/config.php 找到大概在67行
if(!isset($token) || strcasecmp($token, $_SESSION['token']) != 0){
改成
if(!isset($token) || strcasecmp($token, $_SESSION['token']) !== 0){
 
 
  • 說明
自行采取了底層/框架統(tǒng)一修復(fù)、或者使用了其他的修復(fù)方案,可能會(huì)導(dǎo)致您雖然已經(jīng)修復(fù)了該漏洞,云盾依然報(bào)告存在漏洞,遇到該情況可選擇忽略該漏洞提示