1月22日消息，第三方漏洞報(bào)告平臺(tái)烏云最新曝光DedeCMS建站系統(tǒng)SQL注入漏洞。攻擊者可以借此漏洞實(shí)施攻擊，直接竊取服務(wù)器數(shù)據(jù)。據(jù)360網(wǎng)站安全檢測對(duì)注冊(cè)用戶的分析發(fā)現(xiàn)，半數(shù)以上使用DedeCMS系統(tǒng)的網(wǎng)站受到該漏洞威脅，建議站長盡快安裝織夢官方補(bǔ)丁。

　　DedeCMS在國內(nèi)應(yīng)用廣泛，是目前最流行的建站系統(tǒng)之一。本次曝光的漏洞已經(jīng)影響網(wǎng)易、萬網(wǎng)、人人、CSDN以及織夢官方演示站點(diǎn)等眾多知名網(wǎng)站，還有大批中小網(wǎng)站同樣存在漏洞風(fēng)險(xiǎn)，廣大站長應(yīng)予以高度重視。

　　據(jù)360安全工程師分析，DedeCMS最新曝光的SQL注入漏洞存在于/plus/search.php中，其中的$typeid變量被二次覆蓋導(dǎo)致前面的判斷失效，從而產(chǎn)生漏洞。而且，包括GBK版本和UTF-8版本的DedeCMSV5.7均存在這一漏洞。

　　目前，織夢DedeCMS官網(wǎng)已經(jīng)發(fā)布補(bǔ)丁程序，360網(wǎng)站安全檢測平臺(tái)第一時(shí)間向注冊(cè)用戶群發(fā)了告警郵件，提醒用戶盡快打補(bǔ)丁，防止黑客拖庫攻擊。同時(shí)，360網(wǎng)站工程師建議網(wǎng)站管理員及個(gè)人站長使用360網(wǎng)站安全檢測平臺(tái)對(duì)網(wǎng)站進(jìn)行全面體檢，掌握網(wǎng)站安全狀況，并使用360網(wǎng)站衛(wèi)士防御黑客攻擊。