DeDeCMS v5.7 SP2 正式版 前台任意用户密码修改漏洞复现
(一)漏洞简介
织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的 PHP 开源网站管理系统,也是使用用户最多的 PHP 类 CMS 系统,在经历多年的发展,目前的版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms 免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。
2018 年 1 月 10 日, 锦行信息安全公众号公开了一个关于 DeDeCMS前台任意用户密码修改漏洞的细节。
2018 年 1 月 10 日,Seebug 漏洞平台收录该漏洞,漏洞编号为 SSV-97074,知道创宇 404 漏洞应急团队成功复现该漏洞
(二) 漏洞限制
1、 只影响前台账户
2、 只能修改未设置安全问题的账户
(三)复现过程
1.搭建网站
使用DeDeCMSV5.7SP2 正式版(2018-01-09) 与phpstudy pro