DEDECMS再次爆出0day漏洞，酷网世纪提醒广大使用海外服务器的站长注意防范。

    DEDECMS的会员系统一直都爆出各种SQL注入漏洞，若您的美国服务器无需会员系统，请在后台禁用会员系统。此次0day的临时解决方案为：

1、以网站管理员身份后台禁用会员功能。系统 -> 系统基本参数 -> 会员设置 -> 是否开启会员功能 改为（否）
2、若贵站不需要会员功能，可考虑直接重命名或删除存在漏洞的文件 /member/ajax_membergroup.php 或者直接删除/member/目录，最暴力却最有效的方式。
3、漏洞暂时修补方案如下：
一. 确保您的magic_quotes_gpc = On。详细开启方式：打开php安装目录中的php.ini（若您使用的是appserv等集成环境，php.ini可能在系统盘符:\windows\php.ini），搜索magic_quotes_gpc，将其设置为On。

二./plus/carbuyaction.php 22行附近即
 if($cfg_mb_open == 'N') { ShowMsg("系统关闭了会员功能，因此你无法访问此页面！","javascript:;"); exit(); } 下面添加一行代码
 $rs =array(); 三.在 member/ajax_membergroup.php 33行附近即
if(empty($membergroup)){ echo "您还没有设置分组！"; exit; } 下面加入如下代码：
 if(strpos($membergroup,"'")){ echo "SQL注入防护临时补丁！"; exit; } 4.原member/ajax_membergroup.php 36 行附近的
$row = $dsql->GetOne("SELECT groupname FROM dede_member_group WHERE mid = {$cfg_ml->M_ID} AND id={$membergroup}"); 修改为
$row = $dsql->GetOne("SELECT groupname FROM dede_member_group WHERE mid = {$cfg_ml->M_ID} AND id='{$membergroup}'");