dedecms系统原名为织梦内容管理系统,是一款国内最知名的PHP开源网站管理系统,常用来做博客站点或者新闻站点,在网上发现有dedecms SQL注入漏洞提示信息,建议使用了Dedecms作为内容管理系统的运维人员详细检查服务器上的网站文件,此漏洞简介为:dedecms的/dedecms/member/album_add.php文件中,对输入参数mtypesid未进行int整型转义,导致SQL注入的发生。

在阿里云服务器的漏洞风险提示详情可以可以看到如下信息:

在阿里云的漏洞描述详细区域下方将有收到影响的文件以及服务器,可以使用上述阿里云建议的修复方案。

从阿里云提示的信息可知,该漏洞主要为dedecms的/dedecms/member/album_add.php文件中,对输入参数mtypesid未进行int整型转义,导致SQL注入的发生。

阿里云官方提示的修复方案为:

方案一:使用云盾自研补丁进行一键修复; 
方案二:更新该软件到官方最新版本或寻求该软件提供商的帮助。 

【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】


如果不使用官方推荐的解决方案,可以使用网上查找的修复方案,博主在网上查找到一个解决方案如下:

(1)打开 /member/album_add.php 找到221行左右的位置,找到【//保存到主表】代码注释行

(2)在其下方加入代码$mtypesid = intval($mtypesid),此代码的作用在于将传入的参数全部转换为数字类型,如果是SQL注入字符串的话,则无法正常转换为数字。