DEDECMS SQL注射漏洞 | wooyun-2012-014684

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2012-014684

漏洞标题：

DEDECMS SQL注射漏洞

漏洞详情

披露状态：

2012-11-13：积极联系厂商并且等待厂商认领中，细节不对外公开
2012-11-13：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

可注射到管理员密码。会员等

详细说明：

plus/bookfeedback.php.
小说模块。变量未初始化。导致注射。
不过默认不安装此模块。

require_once(dirname(__FILE__)."/../include/common.inc.php");
require_once(DEDEINC."/filter.inc.php");
require_once(DEDEINC."/channelunit.func.php");
..............
	//保存评论内容
	if($comtype == 'comments')
	{
		$arctitle = addslashes($arcRow['arctitle']);
		$arctitle = $arcRow['arctitle'];
		if($msg!='')
		{
			$inquery = "INSERT INTO `#@__bookfeedback`(`aid`,`catid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`, `mid`,`bad`,`good`,`ftype`,`face`,`msg`)
	               VALUES ('$aid','$catid','$username','$bookname','$ip','$ischeck','$dtime', '{$cfg_ml->M_ID}','0','0','$feedbacktype','$face','$msg'); ";
			$rs = $dsql->ExecuteNoneQuery($inquery);
			if(!$rs)
			{
				echo $dsql->GetError();
				exit();
			}
		}
	}
	//引用回复
	elseif ($comtype == 'reply')
	{
		$row = $dsql->GetOne("Select * from `#@__bookfeedback` where id ='$fid'");
		$arctitle = $row['arctitle'];
		$aid =$row['aid'];
		$msg = $quotemsg.$msg;
		$msg = HtmlReplace($msg,2);
		$inquery = "INSERT INTO `#@__bookfeedback`(`aid`,`typeid`,`username`,`arctitle`,`ip`,`ischeck`,`dtime`,`mid`,`bad`,`good`,`ftype`,`face`,`msg`)
				VALUES ('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime','{$cfg_ml->M_ID}','0','0','$feedbacktype','$face','$msg')";
		$dsql->ExecuteNoneQuery($inquery);
	}

$catid变量以及$typeid变量未初始化。造成

漏洞证明：

修复方案：

对$catid变量以及$typeid变量未初始赋值

版权声明：转载请注明来源 kiss@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

WooYun.org

漏洞概要 关注数(24) 关注此漏洞