阿里云服務(wù)器提示media_add.php dedecms后臺(tái)文件任意上傳漏洞修復(fù)方法
來(lái)源:本站原創(chuàng)|時(shí)間:2021-08-05|欄目:dedecms|點(diǎn)擊: 次
阿里云服務(wù)器media_add.php dedecms后臺(tái)文件任意上傳漏洞修復(fù)方法
漏洞名稱:dedecms后臺(tái)文件任意上傳漏洞
補(bǔ)丁文件:media_add.php
更新時(shí)間:2016-07-29 08:46:49
漏洞描述:dedecms早期版本后臺(tái)存在大量的富文本編輯器,該控件提供了一些文件上傳接口,同時(shí)dedecms對(duì)上傳文件的后綴類型未進(jìn)行嚴(yán)格的限制,這導(dǎo)致了黑客可以上傳WEBSHELL,獲取網(wǎng)站后臺(tái)權(quán)限
織夢(mèng)模版網(wǎng)為大家分享:阿里云服務(wù)器media_add.php dedecms后臺(tái)文件任意上傳漏洞修復(fù)方法,主要是文件/dede/media_add.php或者/你的后臺(tái)名字/media_add.php。
搜索
$fullfilename = $cfg_basedir.$filename;
(大概在69行左右)
替換成
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系統(tǒng)禁止!",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$filename;
提醒:修改文件前請(qǐng)做好文件備份。
上一篇:讓DEDE內(nèi)容模型自定義字段在搜索結(jié)果中顯示的辦法
欄 目:dedecms
下一篇:織夢(mèng)dede文章增加HTML自定義字段字符被過(guò)濾問(wèn)題
本文標(biāo)題:阿里云服務(wù)器提示media_add.php dedecms后臺(tái)文件任意上傳漏洞修復(fù)方法
本文地址:http://mengdiqiu.com.cn/a1/dedecms/16356.html
您可能感興趣的文章
- 08-05阿里云提示:織夢(mèng)dedecms 支付模塊注入漏洞導(dǎo)致SQL注入修復(fù)方法
- 08-05阿里云提示織夢(mèng)dedecms支付模塊漏洞解決辦法
- 08-05阿里云提示織夢(mèng)common.inc.php文件SESSION變量覆蓋漏洞解決方法
- 08-05阿里云提示織夢(mèng)后臺(tái)文件media_add.php任意上傳漏洞解決辦法
- 08-05阿里云提示plus/search.php注入漏洞修復(fù)方法
- 08-05織夢(mèng)TAG標(biāo)簽云美化方法
- 08-05阿里云提示織夢(mèng)DedeCMS uploadsafe.inc.php上傳漏洞的解決方法
- 08-05織夢(mèng)cms實(shí)現(xiàn)彩色tags標(biāo)簽云隨機(jī)顏色及大小的方法
- 08-05織夢(mèng)標(biāo)簽云tag的顏色和字體大小怎么樣隨機(jī)顯示
- 08-05織夢(mèng)網(wǎng)站apache服務(wù)器http301重定向到https, 并且不帶www跳轉(zhuǎn)到帶w
