4月11日消息，360网站安全检测平台透露，该平台近期独家发布了DEDECMS建站系统最新版本(V5.7)的两个高危漏洞并提供了修复方案，建议广大采用DEDECMS建站系统用户尽快按照该方案完善系统漏洞，以防止网站受到损失。据介绍，此次DEDECMS漏洞由技术高手“c4rp3nt3rr”提交给360网站安全漏洞悬赏“库带计划”，从而推动360网站安全检测平台快速发布修复方案。

据了解， DEDECMS(织梦内容管理系统)是国内最知名的PHP开源网站管理系统，也是使用用户最多的PHP类CMS系统，诸多站点都是基于DEDECMS 建立。360独家发布修复方案，帮助网站及时完善系统，防止漏洞被利用。

据360网站检测平台介绍，此次漏洞存在于DEDECMS的会员中心好友描述,以及会员中心收藏两个地方。好友描述修改处参数未过滤导致SQL注入漏洞;会员中心收藏删除功能存在SQL注入漏洞。据360安全工程师介绍，SQL注入漏洞直接威胁网站服务器和数据库，可导致数据库被黑客“拖库”。

据悉，360“库带计划”是国内首个第三方漏洞付费收录平台，以现金奖励方式征集开源建站系统漏洞，单个漏洞奖励金额最高可达1万元。自3月份“库带计划”启动以来，360网站安全检测平台已经收集了包括DISCUZ、PHPWIND、DEDECMS、PHPCMS、SHOPEX等多个知名建站系统的漏洞，并协助厂商及时修复。

目前， 360网站安全检测平台(http://webscan.360.cn)已发布漏洞修复方案，也第一时间向注册用户发送了告警邮件，提醒站长们尽快采取措施;同时建议网站站长们免费启用360网站卫士(http://wangzhan.360.cn/)，可以有效防范各种0day漏洞攻击。

附：DEDECMS系统漏洞及修复方案：

漏洞原理

好友描述修改SQL注入漏洞

漏洞存在于/member/ajax_membergroup.php文件中

好友描述修改处参数未过滤导致SQL注入漏洞

图1：好友描述修改漏洞所在函数

会员中心收藏删除SQL注入漏洞

漏洞存在/ember/inc/space_action.php文件中

收藏删除功能

图2：会员中心收藏删除漏洞所在函数

漏洞利用效果及危害

利用该SQL注入获取管理员账号密码

图：漏洞利用效果

修复方案

修复方案：

修改/member/ajax_membergroup.php文件中约51行处改成如下：

图：修复方案图示

/ember/inc/space_action.php文件约306行修改成如下：