近日，一名ID為"imspider"的漏洞研究者在網(wǎng)絡(luò)安全社區(qū)t00ls論壇發(fā)布了DedeCMS的"任意密碼重置"漏洞，經(jīng)知道創(chuàng)宇SCANV網(wǎng)站安全研究人員確認(rèn)，該漏洞屬于"高危"級(jí)別漏洞，可以直接"秒殺"網(wǎng)站服務(wù)器，獲取CMS管理員權(quán)限。

2004年至今，DedeCMS 已占領(lǐng)了國內(nèi)CMS的大部份市場(chǎng)，有超過35萬個(gè)站點(diǎn)正在使用DedeCMS或基于DedeCMS核心開發(fā)，產(chǎn)品安裝量達(dá)到95萬。是目前國內(nèi)最常見的建站程序之一，也是"黑客"密切關(guān)注的對(duì)象。

自2013年3月份開始，SCANV網(wǎng)站安全中心幾乎每周都能發(fā)現(xiàn)DedeCMS的漏洞信息，且其中大多都是SQL注入、文件上傳、密碼篡改等致命漏洞，每個(gè)都能導(dǎo)致網(wǎng)站遭受"掛馬"、"脫褲"的威脅……

截至到本文發(fā)布為止，官方還沒有對(duì)此發(fā)布任何修復(fù)補(bǔ)丁。目前SCANV網(wǎng)站安全中心已積極聯(lián)系DedeCMS官方，請(qǐng)站長密切關(guān)注相關(guān)動(dòng)態(tài)。

針對(duì)該漏洞SCANV網(wǎng)站安全中心也推出了臨時(shí)解決方案，建議廣大DedeCMS站長立即采用。

臨時(shí)解決方案：

打開文件/include/dedesql.class.php 及 /include/dedesqli.class.php

 [注：此為臨時(shí)性解決方案。如有任何問題，請(qǐng)登陸http://bbs.jiasule.com/forum.php進(jìn)行交流]