今天在运维阿里云服务器上的dedecms网站的时候,查看到有个漏洞提示为:dedecms cookies泄漏导致SQL漏洞。该漏洞的详细简介信息为:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。

在阿里云服务器的漏洞风险提示详情可以可以看到如下信息:

在阿里云的漏洞描述详细区域下方将有收到影响的文件以及服务器,可以使用上述阿里云建议的修复方案。

从阿里云提示的信息可知,阿里云云安全中心给出的修复方案为:

方案一:使用云盾自研补丁进行一键修复; 
方案二:更新该软件到官方最新版本或寻求该软件提供商的帮助。 
【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】


如果不使用官方推荐的解决方案,可以使用网上查找的修复方案,博主在网上查找到一个解决方案如下:

(1)打开 /member/inc/inc_archives_functions.php 找到 大概在239行。

echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields.$cfg_cookie_encode)."\" />";

(2)将上述代码语句修改为:

echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields.'anythingelse'.$cfg_cookie_encode)."\" />";