DedeCMS高危漏洞临时解决方案

　　港交所网站被黑事件尚未平息，一个影响更为广泛的DedeCMS系统高危漏洞又被黑客捅了出来。公开数据显示，使用DedeCMS系统的国内互联网站接近40万家，覆盖企业、教育机构、数字传媒等各个领域。截至发稿前，DedeCMS仍未发布官方补丁修复漏洞，为此360网站安全检测平台(webscan.360.cn)已紧急提供了临时解决方案，提醒广大网站站长尽快参考方案修复漏洞。

DedeCMS是国内第一个开源的网站内容管理系统，在CMS市场受到大批网站站长的欢迎。不过最近有技术论坛发现，该系统的全局变量初始化存在漏洞，可能导致黑客利用漏洞侵入使用DedeCMS的网站服务器，造成网站用户数据泄露、页面被恶意篡改等严重后果。

据此前360安全中心发布的《互联网安全报告》显示：今年以来，黑客攻击网站服务器，窃取用户数据造成的危害已经超过盗号木马。很多网民即便电脑没有中木马，账号和密码也会由于网站漏洞而被黑客窃取。因此，DedeCMS漏洞不仅关系着数十万家网站的服务器安全，对网民的切身利益也造成了间接影响。

360网站安全检测平台提醒广大站长，该平台已经第一时间支持DedeCMS最新漏洞的检测，使用DedeCMS开发的网站站长可登录webscan.360.cn免费检测。一旦发现网站存在漏洞，在DedeCMS官方补丁发布之前，应尽快按照如下应急方案进行处理(以DedeCMS 5.6为例)：

在DedeCMS系统的/include/common.inc.php中，找到注册变量的代码：

　　foreach(Array('_GET','_POST','_COOKIE') as $_request)
　　{
　　foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
　　}

将其修改为：

　　foreach(Array('_GET','_POST','_COOKIE') as $_request)
　　{
　　foreach($$_request as $_k => $_v) {
　　if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) ){
　　exit('Request var not allow!');
　　}
　　${$_k} = _RunMagicQuotes($_v);
　　}
　　}