织梦后台文件media_add.php任意上传漏洞的解决方法

[复制链接]
树苗收集系 发表于 2020-9-12 15:36:38 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
edecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限

media_add.php dedecms后台文件任意上传漏洞修复方法,主要是文件/dede/media_add.php或者/你的后台名字/media_add.php。

搜索
  1. $fullfilename = $cfg_basedir.$filename;
复制代码
(大概在69行左右)

替换成
  1. if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
  2. ShowMsg("你指定的文件名被系统禁止!",'java script:;');
  3. exit();
  4. }
  5. $fullfilename = $cfg_basedir.$filename;
复制代码
修改文件前请做好文件备份。将新的media_add.php 文件上传替换阿里云服务器上即可解决此问题。


回复

使用道具 举报

精彩评论5

没有糖吃的孩子 发表于 2020-9-12 22:02:13 | 显示全部楼层
前来围观,LZ好样的!
回复

使用道具 举报

采女孩的大蘑菇 发表于 2020-9-15 10:28:52 | 显示全部楼层
前来支持~~~~~~~~~~~~~~~~~~~
回复

使用道具 举报

淡看红尘轻笑孤 发表于 2020-9-17 22:37:52 | 显示全部楼层
必须支持。。。。。。。
回复

使用道具 举报

柠檬树上的少女 发表于 2020-9-27 13:42:49 | 显示全部楼层
好像还不错!
回复

使用道具 举报

我算哪根葱 发表于 2020-12-20 15:45:54 | 显示全部楼层
抢楼了,前排第一次啊
回复

使用道具 举报

发布主题
推荐阅读 更多
阅读排行 更多
广告位
全国统一客服电话
400-1234-5678

24x7小时免费咨询

  • 官方在线客服

    QQ客服:小西

    点击交谈

    QQ客服:良子

    点击交谈

    QQ客服:闵月

    点击交谈
  • 安徽省合肥市高新区创新产业园

  • 手机扫码查看手机版

    手机查找资源更方便

  • 扫一扫关注官方微信

    加入官方微信群