/plus/guestbook/edit.inc.php??这个是一个dedecms留言板注入漏洞,因为没有对$msg过滤,导致可以任意注入,处理方案如下:
打开/plus/guestbook/edit.inc.php,搜索代码:
else if($job=='editok')
修改为:
打开/plus/guestbook/edit.inc.php,搜索代码:
else if($job=='editok')
修改为:
else?if($job=='editok')?{?$remsg?=?trim($remsg); /*?验证$g_isadmin?*/ if($remsg!='') ?{?//管理员回复不过滤HTML if($g_isadmin)?{?$msg?=?"