DedeCMS后台文件任意上传漏洞media_add.php的修改
网站建设 2022-07-27 08:13www.1681989.com免费网站
网站迁移到阿里云之后,一直提示有一个漏洞,如下 漏洞名称 dedecms后台文件任意上传漏洞 补丁文件 media_add.php 漏洞描述 dedecms早期版本后台存在大量的富文本编辑器,该控件 […]
$fullfilename = $cfg_basedir.$filename;
if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$filename;
网站迁移到阿里云之后,一直提示有一个漏洞,如下
漏洞名称dedecms后台文件任意上传漏洞
补丁文件media_add.php
漏洞描述dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限。
修改这个漏洞也是很简单,主要是文件/dede/media_add.php或者/你的后台名字/media_add.php的修改。
解决方法
1、打开dede/media_add.php文件,找到第69行或者搜索代码
$fullfilename = $cfg_basedir.$filename;
修改为
if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$filename;
修改文件前请做好文件备份,将新的media_add.php文件上传替换阿里云服务器上即可解决此问题。
网站设计
- 静宁会SEO的网站建设公司:全面提升您的网络影
- 提升在线业务的关键:选择最佳的丽水网站建设
- 浙江网站优化发展潜力如何
- 井研专业的网站建设公司:打造您的在线品牌
- 灵山SEO网站建设公司:提升您的在线业务表现
- 蒙城网站建设优化公司:提升您网站表现的理想
- 阳谷企业网站优化:提升线上业务力的关键
- 樟树专业的网站建设公司:打造您在线业务的坚
- 通河百度SEO排名的策略与技巧
- 重庆百度快照排名如何进行精准的客户引流
- 重庆百度快照排名
- 常宁便宜的建站公司:助您轻松打造在线业务
- 巫溪百度网站优化:提升网站曝光率与流量的关
- 湖北整站优化怎么做才能放大客户需求
- 闸北网站建设多少钱?全面解析与预算规划
- 辽宁企业网站优化怎么做电话营销