警惕Dedecms最新“友情链接”0day安全漏洞

       近日，知名安全漏洞报告平台“乌云”收到白帽子“海琪花”提交的漏洞报告，报告称DedeCMS存在一个严重的跨站脚本漏洞，攻击者可以通过前台提交“友情链接”提交恶意JS代码，当管理员访问后台管理“友情链接”时，触发攻击的恶意代码，导致攻击者直接盗用管理员身份登陆后台，最终导致网站被完全控制，植入恶意网站木马，轮为“肉鸡”。 

经安全联盟站长平台研究人员分析后，确认了该漏洞确实存在，且影响到官方最新版本。官方并没有推出对应的漏洞补丁，仍然属于0day安全漏洞。 

 

 

     值得注意的是，在乌云漏洞平台上显示“厂商主动忽略漏洞”。 

 

 

 

     另外据乌云漏洞平台上报告者称：“这个问题应该很久了，最近发现有用这个的蠕虫”，同时也有很多站长及漏洞修复专家向安全联盟反馈，该漏洞已经有“黑客”正在利用。