这个是一个dedecms留言板注入漏洞,因为没有对$msg过滤,导致可以任意注入,解决方法如下:
在edit.inc.php 大概55行左右,找到:
$dsql->ExecuteNoneQuery("UPDATE `dede_guestbook` SET `msg`='$msg', `posttime`='".time()."' WHERE id='$id' ");
在它上面加上下面代码:
$msg = addslashes($msg);说明:
自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示。
当然,您如果不用留言板,也可能把它删了。