前言
CVE-2018-20129
2018-12-11 在CVE中文申请站公布了一个 DEDECMS 5.7 SP2 最新版本中存在文件上传漏洞,具有管理员权限者可利用该漏洞上传并getshell执行任意PHP代码。
经过分析验证。该漏洞要求管理员权限登录。并且要开启会员功能,这个功能在默认情况下是不开启,需要管理员手动开启。
经过360CERT判断,该漏洞危害小,影响面有限。但还是推荐使用DedeCMS的用户进行相关验证,并执行修复建议。
tips:只想看关键部分的可以目录直接跳转0x02的‘重点开始’。
0x01 环境搭建
服务器框架:wamp
dede cms版本:DEDECMS 5.7 SP2
下载好cms源码,将源码文件目录放在网站的根目录下。
访问:
1.安装cms