织梦内容管理系统(DedeCms)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统 ,在经历多年的发展,版本无论在功能,还是在易用性方面,都有了长足的发展和进步,DedeCms免费版的主要目标用户锁定在个人站长,功能更专注于个人网站或中小型门户的构建,当然也不乏有企业用户和学校等在使用该系统。
DedeCMS在v6.1.9版本中存在跨站请求伪造漏洞(CSRF),这是由于admin/sys_admin_user_add.php文件没有对CSRF进行过滤,攻击者构造特制的html文件,让受害者打开,将可以在网站中添加任意管理员账户或者修改管理员密码。
攻击者构造特制的html文件,让受害者打开,将可以在网站中添加任意管理员账户或者修改管理员密码。
GitHub世界构建软件的地方 - GitHub:https://github.com/cai-niao98/Dedecmsv6
CVE-2022-43031:https://nvd.nist.gov/vuln/detail/CVE-2022-43031