DedeCMS織夢后臺文件任意上傳漏洞media_add.php的修改方法

來源：本站原創(chuàng)|時間：2021-08-05|欄目：dedecms|點擊：次

網(wǎng)站遷移到阿里云之后，一直提示有一個漏洞，如下：

漏洞名稱：dedecms后臺文件任意上傳漏洞

補丁文件：media_add.php

漏洞描述：dedecms早期版本后臺存在大量的富文本編輯器，該控件提供了一些文件上傳接口，同時dedecms對上傳文件的后綴類型未進行嚴格的限制，這導致了黑客可以上傳WEBSHELL，獲取網(wǎng)站后臺權限。

修改這個漏洞也是很簡單，主要是文件/dede/media_add.php或者/你的后臺名字/media_add.php的修改。

解決方法：

1、打開dede/media_add.php文件，找到第69行或者搜索代碼：

$fullfilename = $cfg_basedir.$filename;

修改為：

if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系統(tǒng)禁止！",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$filename;

修改文件前請做好文件備份，將新的media_add.php文件上傳替換阿里云服務器上即可解決此問題。

上一篇：織夢dede自定義表單中如何做城市二級三級聯(lián)動，下拉城市多級選擇

欄目：dedecms

下一篇：想要企業(yè)官網(wǎng)高大上需要做好哪些事情？

本文標題：DedeCMS織夢后臺文件任意上傳漏洞media_add.php的修改方法

本文地址：http://mengdiqiu.com.cn/a1/dedecms/16581.html

更多dedecms

您可能感興趣的文章

網(wǎng)頁制作 CMS教程網(wǎng)絡編程軟件編程腳本語言數(shù)據(jù)庫服務器

如果侵犯了您的權利，請與我們聯(lián)系，我們將在24小時內(nèi)進行處理、任何非本站因素導致的法律后果，本站均不負任何責任。

聯(lián)系QQ：835971066 | 郵箱：835971066#qq.com(#換成@)

欧美大屁股bbbbxxxx,狼人大香伊蕉国产www亚洲,男ji大巴进入女人的视频小说,男人把ji大巴放进女人免费视频,免费情侣作爱视频

dedecms

DedeCMS織夢后臺文件任意上傳漏洞media_add.php的修改方法

您可能感興趣的文章

閱讀排行

本欄相關

隨機閱讀