当前位置:首页 > 漏洞预警 > 正文

DedeCMS 跨站请求伪造漏洞(CVE-2021-32073)预警

发布时间:2021-05-25 14:22:13,来源:北京天融信网络安全技术有限公司

一、基本情况

近日,DedeCMS披露存在跨站请求伪(CSRF)漏洞,漏洞CVE编号:CVE-2021-32073。攻击者可利用该漏洞将恶意请求发送至Web管理器,从而导致远程代码执行。建议受影响用户及时升级至最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

二、 漏洞描

Desdev DedeCMS(织梦内容管理系统)是上海卓卓网络科技公司(Desdev)的一套基于PHP+MySQL的开源内容管理系统(CMS)。

该漏洞存在/uploads/dede/search_keywords_main.php文件下,是由于系统对GetKeywordList函数过滤不全导致的。攻击者可利用该漏洞将恶意请求发送至Web管理器,从而导致远程代码执行。

三、 影响范围

DedeCMS  V5.7 SP2

四、 安全建

目前官方已发布新版本修复该漏洞,建议受影响用户及时升级更新。

http://www.dedecms.com/products/dedecms/downloads/

五、 参考链接

https://github.com/ky-j/dedecms/issues/12