DEDECMS支付模块注入漏洞
漏洞文件: /include/payment/alipay.php
漏洞描述: 对输入参数$_GET['out_trade_no']未进行严格过滤
修复方案: 对该参数实体转义即可 addslashes($_GET['out_trade_no'])
大约在136行
补丁前: $order_sn = trim($_GET['out_trade_no']);
补丁后: $order_sn = trim(addslashes($_GET['out_trade_no']);
吉公网安备 22020202000301号