漏洞

dedecms v5.7 qrcode二维码XSS跨站脚本漏洞

简介

Dedecms V5.7SP2正式版(2018-01-09)，对type参数利用该漏洞注入任意的Web脚本或HTML.

文件

/plus/qrcode.php

修复

打开 /plus/qrcode.php 找到，大概在第8行

$type = isset($type)? $type : \'\';

改成

$type = isset($type)? RemoveXSS(HtmlReplace($type,3)) : \'\';

如图