织梦dedecms后台文件任意上传漏洞

织梦dedecms在安装到阿里云服务器后,阿里云安全中心会报“dedecms后台文件任意上传漏洞”。

影响文件:media_add.php

文件路径:.../后台文件夹(默认)/media_add.php

解决方案:

查找文件:media_add.php ,大概在70行左右,找到:

$fullfilename = $cfg_basedir.$filename;

修改为:

if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { 
    ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); 
    exit(); 
} 
$fullfilename = $cfg_basedir.$filename;

然后在阿里云安全中心进行“验证”,会显示“漏洞已失效”,这就表示漏洞修复OK。

许大也

许大也

奔四不油腻,有过理想,喜欢一些东西但不痴迷,从事过网页设计、搜索引擎优化、web前端,目前专注于互联网产品运营。

在路上,最青春!

发表新评论

©2020 visc.cn All Rights Reserved
Powered by Typecho & Theme Quark
苏ICP备20028920号-1