织梦dedecms在安装到阿里云服务器后,阿里云安全中心会报“dedecms后台文件任意上传漏洞”。
影响文件:media_add.php,
文件路径:.../后台文件夹(默认)/media_add.php
解决方案:
查找文件:media_add.php ,大概在70行左右,找到:
$fullfilename = $cfg_basedir.$filename;
修改为:
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
ShowMsg("你指定的文件名被系统禁止!",'javascript:;');
exit();
}
$fullfilename = $cfg_basedir.$filename;
然后在阿里云安全中心进行“验证”,会显示“漏洞已失效”,这就表示漏洞修复OK。