漏洞名称:dedecms支付模块注入漏洞
漏洞描述:DEDECMS支付插件存在SQL注入漏洞,此漏洞存在于/include/payment/alipay.php文件中,对输入参数$_GET[‘out_trade_no’]未进行严格过滤。
解决方案:
大约在136行 /* 取得订单号 */
补丁前:
$order_sn = trim($_GET[‘out_trade_no’]);
补丁后:
$order_sn = trim(addslashes($_GET[‘out_trade_no’]));
© 版权声明
文章搜集于网络,如有侵权请联系本站,转载请说明出处。
THE END
暂无评论内容