一、漏洞说明
该漏洞属于「账号接管类高危漏洞」,攻击者无需知道用户账号密码,仅需构造恶意请求,即可绕过验证,直接修改任意用户(包括管理员)的密码,进而登录网站后台,控制整个网站。
- 漏洞编号:CNVD-2018-0109
- 危害等级:高危
- 影响版本:DedeCMS V5.7 SP2 全版本(含各类衍生版本)
- 漏洞文件:/member/resetpassword.php
- 漏洞场景:前台会员中心「密码重置」功能,未对请求参数进行有效验证,缺少token校验和身份验证,导致攻击者可越权修改任意用户密码。
二、代码分析
漏洞核心原因:resetpassword.php 文件中,密码重置逻辑仅校验「用户ID」和「邮箱」,但未校验请求的合法性,且未加入随机token防止伪造请求,攻击者可通过构造用户ID和邮箱参数,直接提交密码重置请求。
关键漏洞代码(原文件片段):
<?php
// 原漏洞代码
if($_POST['submit']){
$uid = $_POST['uid'];
$email = $_POST['email'];
$newpwd = $_POST['newpwd'];
// 仅校验用户ID和邮箱是否匹配,无其他验证
$row = $dsql->GetOne("SELECT * FROM `#@__member` WHERE mid='$uid' AND email='$email'");
if($row){
// 直接修改密码,无token校验、无身份验证
$newpwd = md5($newpwd);
$dsql->ExecuteNoneQuery("UPDATE `#@__member` SET pwd='$newpwd' WHERE mid='$uid'");
echo '密码修改成功';
}else{
echo '用户ID或邮箱错误';
}
}代码问题分析:
- 缺少 token 校验:未生成随机token并绑定用户会话,攻击者可直接伪造POST请求,提交任意uid和email参数;
- 缺少身份验证:未验证请求者是否为该用户本人,仅校验uid和email匹配,而uid和email可通过其他途径获取(如会员列表、文章作者信息);
- 参数未过滤:uid参数未进行intval强转,存在SQL注入风险(虽本漏洞核心为密码重置,但可被连带利用)。
三、修复方法(原位修复,不升级、不影响模板)
本修复方案通过添加token校验、身份验证、参数过滤,彻底封堵漏洞,不改动网站原有功能,步骤如下:
步骤1:备份漏洞文件
备份 /member/resetpassword.php 文件,避免修改错误导致密码重置功能异常。
步骤2:修改漏洞文件代码
打开 /member/resetpassword.php 文件,替换为以下修复后的代码(保留原有页面样式,仅修改核心逻辑):
<?php
session_start(); // 启动会话,用于token校验
if($_POST['submit']){
// 修复1:添加token校验,防止伪造请求
$token = $_POST['token'];
if($token != $_SESSION['reset_token'] || empty($token)){
echo '非法请求,请刷新页面后重试';
exit;
}
// 修复2:参数过滤,uid强转int,防止SQL注入
$uid = intval($_POST['uid']);
$email = addslashes($_POST['email']);
$newpwd = addslashes($_POST['newpwd']);
// 修复3:验证请求者身份(需登录后才能重置密码)
if(empty($_SESSION['mid']) || $_SESSION['mid'] != $uid){
echo '请登录后重置自己的密码';
exit;
}
// 原有校验逻辑保留,增加安全性
$row = $dsql->GetOne("SELECT * FROM `#@__member` WHERE mid='$uid' AND email='$email'");
if($row){
$newpwd = md5($newpwd);
$dsql->ExecuteNoneQuery("UPDATE `#@__member` SET pwd='$newpwd' WHERE mid='$uid'");
// 修复4:重置token,防止重复提交
unset($_SESSION['reset_token']);
echo '密码修改成功,请重新登录';
}else{
echo '用户ID或邮箱错误';
}
}else{
// 生成随机token,用于提交校验
$token = uniqid(mt_rand(), true);
$_SESSION['reset_token'] = $token;
// 原有页面展示代码(保留,不修改)
// ......(此处保留原文件中的HTML页面代码)
}
?>步骤3:修改前端提交表单
在 resetpassword.php 的HTML表单中,添加token隐藏字段,确保提交时携带token(找到表单form标签内,添加以下代码):
<input type="hidden" name="token" value="<?php echo $_SESSION['reset_token']; ?>" />步骤4:验证修复效果
- 未登录状态下,尝试提交密码重置请求,提示「请登录后重置自己的密码」,修复生效;
- 伪造token提交请求,提示「非法请求」,修复生效;
- 登录会员后,仅能重置自己的密码,无法修改其他用户密码,修复生效。
四、注意事项
- 修改后务必测试会员密码重置功能,确保正常用户可重置自己的密码;
- 若网站开启了会话缓存,需清理缓存,避免token失效;
- 建议同时修改管理员账号的邮箱,避免攻击者通过邮箱信息构造请求(虽修复后已无法利用,但可进一步提升安全性)。
本文由 流觞运维 整理,https://www.lnmpweb.cn/archives/7481