dedecms早期版本后臺(tái)存在大量的富文本編輯器，該控件提供了一些文件上傳接口，同時(shí)dedecms對(duì)上傳文件的后綴類(lèi)型未進(jìn)行嚴(yán)格的限制，這導(dǎo)致了黑客可以上傳WEBSHELL，獲取網(wǎng)站后臺(tái)權(quán)限。

織夢(mèng)在安裝到阿里云服務(wù)器后阿里云后臺(tái)會(huì)提示media_add.php后臺(tái)文件任意上傳漏洞，引起的文件是后臺(tái)管理目錄下的media_add.php文件，下面跟大家分享一下這個(gè)漏洞的修復(fù)方法：

一、找到代碼 require_once(DEDEINC."/image.func.php");  大概20行

在其上面增加：csrf_check();

如圖所示：

二：找到代碼：$filename = $savePath."/".$filename; 大概64行

在其下面增加如下代碼：

如圖所示：