DEDECMS支付插件存在SQL注入漏洞,此漏洞存在于/include/payment/alipay.php文件中,对输入参数$_GET['out_trade_no']未进行严格过滤。
漏洞文件:/include/payment/alipay.php
修补方法:
找到漏洞文件中的这一句(如果没有大的修改一般在137行):
$order_sn = trim($_GET['out_trade_no']);
替换为:
$order_sn = trim(addslashes($_GET['out_trade_no']));
保存上传覆盖即可修复此漏洞。
