導讀:織夢文章織夢文章影響版本: DEDECMS v5.6 Final 程序介紹: DedeCms 基于PHP+MySQL的技術開發，支持Windows、Linux、Unix等多種服織夢cms模板織夢模板安裝。

影響版本: DEDECMS v5.6 Final 程序介紹: DedeCms 基于PHP+MySQL的技術開發，支持Windows、Linux、Unix等多種服務器平臺，從2004年開始發布第一個版本開始，至今已經發布了五個大版本。DedeCms以簡單、健壯、靈活、開源幾大特點占領了國內CMS的大部份市場，目前已經有超過二十萬個站點正在使用DedeCms或居于DedeCms核心，是目前國內應用最廣泛的php類CMS系統。 漏洞分析: Dedecms V5.6 Final版本中的各個文件存在一系列問題，經過精心構造的含有惡意代表的模板內容可以通過用戶后臺的上傳附件的功能上傳上去，然后通過SQL注入修改附加表的模板路徑為我們上傳的模板路徑，模板解析類：include/inc_archives_view.php沒有對模板路徑及名稱做任何限制，則可以成功執行惡意代碼。 1、member/article_edit.php文件（注入）： //漏洞在member文件夾下普遍存在，$dede_addonfields是由用戶提交的，可以被偽造，偽造成功即可帶入sql語句，于是我們可以給附加表的內容進行update賦值。  PHP Code復制內容到剪貼板