/plus/guestbook/edit.inc.php这个是一个dedecms留言板注入漏洞,因为没有对$msg过滤,导致可以任意注入,处理方案如下:
打开/plus/guestbook/edit.inc.php,搜索代码:
else if($job=='editok')
修改为:
elseif($job=='editok'){$remsg=trim($remsg); /*验证$g_isadmin*/ if($remsg!='') {//管理员回复不过滤HTML if($g_isadmin){$msg="