漏洞名称：dedecms cookies泄漏导致SQL漏洞

危险等级：★★★★★（高危）

漏洞文件：/member/inc/inc_archives_functions.php

披露时间：2016-08-22

漏洞描述：dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie，同时在其他核心支付系统也使用了同样的cookie进行验证，黑客可利用泄漏的cookie通过后台验证，进行后台注入。

修复方法：
打开/member/inc/inc_archives_functions.php
找到大概第239行的代码：

echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields.$cfg_cookie_encode)."\" />";

修改为：

echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields.'anythingelse'.$cfg_cookie_encode)."\" />";

红色标示的即是修改的部分：

echo "<input type=\"hidden\" name=\"dede_fieldshash\" value=\"".md5($dede_addonfields.'anythingelse'.$cfg_cookie_encode)."\" />";