“织梦”CMS注入高危漏洞情况

时间:2020-12-14 07:49:44
“织梦”CMS注入高危漏洞情况
作者:     时间:2014-04-17
 
“织梦”CMS是由上海卓卓网络科技有限公司研发的一款网站建站系统软件,又称“DEDE内容管理系统”,在国内应用较为广泛。2014年2月25日,该软件被披露存在一个高危漏洞,由于页面参数未进行严格过滤,存在SQL注入漏洞。受漏洞影响的织梦CMS 版本包括V 5.7 SP1及以下版本。至2月28日,针对该漏洞的攻击利用代码和相关利用工具在互联网上已经被公开传播。攻击者可利用漏洞直接获得网站数据库信息,进而取得网站后台管理权限,后续可进一步渗透取得网站服务控制权。

  据国家互联网应急中心监测发现,针对该漏洞的攻击近期呈现大规模爆发趋势,对网站运行安全和用户个人信息安全构成较为严重的威胁,正加大漏洞通报和处置力度。



漏洞防范及处置建议



  目前,软件生产厂商已经发布了针对该漏洞的相关补丁,建议用户及时到生产厂商官方网站下载补丁程序及时升级,并限制网站管理后台访问IP地址。已遭受入侵,建议对网站服务器进行彻底清理,清除可疑文件、账号、后门程序等,升级DEDECMS后变更管理后台账号和密码等。