DedeCMS未过滤文件包含函数导致任意文件包含漏洞

最近DedeCMS又被爆出存在文件包含漏洞。据了解，该漏洞影响版本为5.7.106以及之前的版本。影响范围较大，其中，文件uploads/dede/article_allowurl_edit.php存在缺乏对写入内容的安全过滤，导致可以写入任意内容，形成了该漏洞，具体漏洞详情如下：

攻击者可以通过操纵参数allurls来实现代码注入，并最终获得网站的控制权限。在/data/admin/allowurl.txt文件中写入的内容，并没有经过安全过滤，从而导致被成功绕过。由此可见，开发者应该严格限制用户输入的数据，避免类似漏洞的出现，确保网站的安全性和稳定性。

SINE安全修复dedecms漏洞的方案：

建议更新DedeCMS到最新版本，即5.7.108或更高版本，官方已经修复了这个漏洞。对文件uploads/dede/article_allowurl_edit.php进行修改，在写入allowurl.txt文件之前，加入过滤器对内容进行过滤，并且限制允许写入的内容格式。禁止未授权用户访问该文件，只开放给具有必要权限的用户使用。

后期网站安全防护建议：

定期检查系统中是否存在漏洞，及时更新相关软件和补丁。对于敏感操作，如登录、注册等，应该引入验证码等机制，增强安全性。加强数据备份，及时备份重要数据，以防止意外情况发生时造成不必要的损失。引入WAF等web应用防火墙，对访问请求进行监测与拦截，防止恶意攻击和注入等行为。不定期进行安全评估和渗透测试，对存在的安全问题进行修复和优化。员工安全教育培训，提高员工安全意识，避免因误操作导致的安全问题。