151-3895-5886
 

织梦后DedeCMS台文件任意上传漏洞media_add.php的修改方法

2018-11-01 浏览:
织梦CMS
把网站迁移到阿里云之后,一直提示有一个漏洞,如下:
 
漏洞名称:dedecms后台文件任意上传漏洞
 
补丁文件:media_add.php
 
漏洞描述:dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限。
 
修改这个漏洞也是很简单,主要是文件/dede/media_add.php或者/你的后台名字/media_add.php的修改。
 
解决方法:
 
1、打开dede/media_add.php文件,找到第69行或者搜索代码:
 
$fullfilename = $cfg_basedir.$filename;
 
修改为:
 
if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$filename;
 
修改文件前请做好文件备份,将新的media_add.php文件上传替换阿里云服务器上即可解决此问题。
郑州融科网络专注于企业网站建设、网站制作、高端网站设计,郑州荥阳、上街做网站就找融科网络!
本文章网址:http://www.ppssdd.com/code/1530.html。转载请保留出处,谢谢合作!
文章标签: 代码 织梦 dedecms 后台 上传 漏洞 文件
 
阅读下一篇
织梦DedeCMS模板为文章图片自动添加ALT标签
 
 
推荐阅读
2018年正在流行三种网页设计趋势
网络公司告诉你有关面包屑导航的
织梦dedecms上传本地视频后 文件管理
织梦dedecms中万能标签loop不能输入
服务器稳定性对seo的影响
企业网站被K之后怎么恢复?
织梦dedecms后台验证码显示不全或者
郑州网站建设中外链的使用对象有
如何打造新网站让搜索引擎秒收录
Ecshop教程-ecshop模板修改大全
郑州网站建设融科网络微信二维码
 
准备开展业务?
郑州建站咨询服务
联系专业的商务顾问,诊查网站现状及关键词、分析竞争对手的流量、一对一咨询、及其报价详情