织梦DedeCMS中media_add.php 任意文件上传漏洞解决方法 [高危漏洞]

织梦DedeCMS中media_add.php 任意文件上传漏洞解决方法 [高危漏洞]

浏览次数:

作者:管理员

来源: 邈瀚云

发布时间:2019-08-04 15:03

内容简介:阿里云服务器media_add.php dedecms后台文件任意上传漏洞的解决方案 dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限 跟版网为大家分享:阿里云服务器media_add.php dedecms后台文

  • 文章内容
  • 相关内容

阿里云服务器media_add.php dedecms后台文件任意上传漏洞的解决方案

dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限

跟版网为大家分享:阿里云服务器media_add.php dedecms后台文件任意上传漏洞修复方法,主要是文件/dede/media_add.php或者/你的后台名字/media_add.php。

搜索$fullfilename = $cfg_basedir.$filename;(大概在69行左右)

在这行上面添加:


if(preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename)))
{
  ShowMsg("你指定的文件名被系统禁止!",'javascript:;');
  exit();
}

修改文件前请做好文件备份。将新的media_add.php 文件上传替换阿里云服务器上即可解决此问题。


声明:本文文字、图片等素材除标明原创外均采集于网络,如有侵权,请及时告知我们,我们将在最短的时间内删除。
  • 339点击
    经常有织梦用户站长咨询AB模板网:在做网站尤其是做企业网站的时候总是会发现调用文章不合适的事情发生,调用的文章的关键词总是没有我们想要的。 比如我们网站里有很多文章中含有“织梦技术,dede”的词,那么想在网站首...
  • 319点击
    这是一个菜鸟站长很困惑的问题,如何让首页地址中不显示index.html呢?我们先来看一下显示的效果图。 在上图中,当我们输入网址:www.adminbuy.cn 后,页面打开时,域名网址的后边右斜杠增加一...
  • 247点击
    织梦是目前使用最多的cms,其良好的搜索引擎优化功能使得很多在建设企业站的时候都使用织梦cms, 对于织梦很多有利于优化的方面我们比较熟悉的就有织梦的tag标签,tag标签的功能就是让有一些相同关键词的网站可以得以聚合,...
  • 201点击
    织梦默认只允许上传 jpg,gif,png 格式的图片文件,如果想要上传ico图标格式文件或者其他格式图片文件需要做如下几步 1.后台-系统-系统基本参数-附件设置-图片浏览器文件类型 添加 |ico 如图,注意有个 | 竖线 2.打开 /include/dialog/se...
  • 290点击
    两步搞定dedecmsv5.7版本的tag标签限制12字节,dedecms5.7版本和以往的版本不一样,修改方法也不一样,具体做法如下: 一、点击“系统”——“SQL命令行工具”在输入框内输入以下2行,然后确定即可。 alter table `dede_taglist` change `tag...