dedeCMS 最新注入漏洞一枚 | wooyun-2012-014076

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2012-014076

漏洞标题：

dedeCMS 最新注入漏洞一枚

漏洞详情

披露状态：

2012-10-30：积极联系厂商并且等待厂商认领中，细节不对外公开
2012-10-31：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

hf
由于对参数的变量未作初始化检测及使用了类反射的技巧导致 plus\feedback.php 中变量 $typeid 存在注入风险。

详细说明：

由于官方已经发布补丁，而且漏洞未提供POC攻击代码，故此漏洞提前公开。
补丁地址：http://bbs.dedecms.com/551651.html

构造的方式我不提供了，但是你有心阅读下代码就会明白了。

...
if($comtype == 'comments')
    {
        $arctitle = addslashes($title);
        if($msg!='')
        {
            $inquery = "INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`, `mid`,`bad`,`good`,`ftype`,`face`,`msg`)
                   VALUES ('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime', '{$cfg_ml->M_ID}','0','0','$feedbacktype','$face','$msg'); ";
            $rs = $dsql->ExecuteNoneQuery($inquery);
            if(!$rs)
            {
                ShowMsg(' 发表评论错误! ', '-1');
                //echo $dsql->GetError();
                exit();
            }
        }
    }
    //引用回复
    elseif ($comtype == 'reply')
    {
        $row = $dsql->GetOne("SELECT * FROM `#@__feedback` WHERE id ='$fid'");
        $arctitle = $row['arctitle'];
        $aid =$row['aid'];
        $msg = $quotemsg.$msg;
        $msg = HtmlReplace($msg, 2);
        $inquery = "INSERT INTO `#@__feedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`,`mid`,`bad`,`good`,`ftype`,`face`,`msg`)
                VALUES ('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime','{$cfg_ml->M_ID}','0','0','$feedbacktype','$face','$msg')";
        $dsql->ExecuteNoneQuery($inquery);
    }

漏洞证明：

下面我给出一张带了echo信息的问题结果演示。

修复方案：

今天突发想作作代码审计，dedecms中HTTP的输入上用类反射这个技巧第一次见（好吧，我承认我是第一次玩PHP代码审计）。
建议考虑在反射上作得全面点，支持输入参数的类型和开发对应的过滤器作到更灵活更安全，这会给你们解决其中很多没反馈的问题。
gl

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 cyg07@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 cyg07@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞