2月19日,腾讯电脑管家安全中心发现国内著名建站工具DEDECMS(织梦者)存在严重漏洞,黑客可以利用该漏洞获得此网站后台最高管理权限,从而窃取网站用户的个人帐号密码等私密信息或上传植入盗号木马病毒进行牟利。由于DEDECMS工具在国内使用率颇高,所以此次漏洞或将对国内百万网站产生威胁。目前腾讯电脑管家已率先拦截利用该漏洞的钓鱼盗号网站,并通过官方微博提醒广大网站站长及时升级打上补丁,避免漏洞被利用,安全联盟官方微博也在第一时间回应发出预警。
(目前腾讯电脑管家已率先拦截利用该漏洞的钓鱼盗号网站)
DedeCMS是一套基于PHP+MySQL的技术开发,支持多种服务器平台。从2004年发布伊始,就以简单、健壮、灵活、开源几大特点占领了国内 CMS的大部份市场,目前已经有超过35万个站点正在使用DedeCMS或基于DedeCMS核心开发,产品安装量达到95万,是目前国内最常见的建站工具之一,也是“黑客”密切关注的对象!
(黑客通过触发漏洞获得网站管理员权限)
据安全联盟成员知道创宇高级工程师介绍,本次DEDECMS曝出的漏洞,可以使黑客轻易获得通过DEDECMS工具建站的网站最高管理权限。黑客在取得最高权限后,可以浏览、复制、下载网站中的任何信息,同时还可以上传任何恶意程序,以达成二次犯罪的目的。
(腾讯电脑管家、安全联盟等官方微博提醒广大站长及时升级补丁)
