dedecms后台文件media_add.php任意上传漏洞的解决方法
发布时间:2020-06-11 11:45:22 作者:佚名 
我要评论
我要评论一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限
dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限
media_add.php dedecms后台文件任意上传漏洞修复方法,主要是文件/dede/media_add.php或者/你的后台名字/media_add.php。
搜索
$fullfilename = $cfg_basedir.$filename; (大概在69行左右)
替换成
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
ShowMsg("你指定的文件名被系统禁止!",'java script:;');
exit();
}
$fullfilename = $cfg_basedir.$filename;
脚本之家提醒您:修改文件前请做好文件备份。将新的media_add.php 文件上传替换阿里云服务器上即可解决此问题。
相关文章
织梦dedecms安全漏洞include/common.inc.php漏洞解决方法
据悉DEDECMS的全局变量初始化存在漏洞,可以任意覆盖任意全局变量,下面是具体的解决方法,需要的朋友可以参考下2021-05-13- 最近因为使用的dede系统考虑后期数据量大的问题,所以提前将dedecms优化一下,应对后期数据量大导致后台卡等问题,这里为大家分享一下,主要是思路对于新版本的dedecms需要2021-05-12
DedeCMS大数据负载性能优化方案(简单几招让你提速N倍)
今天我们分享一下DedeCMS数据负载性能优化的方法,因为目前70w条记录,导致站点后台查询慢,生成HTML也很吃力,经过下面的优化确实可以提升不少2021-05-12mysql织梦索引优化之MySQL Order By索引优化
最近基于mysql数据库的织梦系统查询与生成静态页面比较慢,所以想优化一下索引试试能不能提高一下执行效率下面是具体的实现步骤,需要的朋友可以参考一下2021-05-12织梦dedecms页面空白后开启错误信息提示功能方便调试错误
织梦后台空白、织梦后台左侧空白等相关问题,如果没有报错提示信息,不显示任何内容,对新手来说摸不着头脑,无从下手,开启织梦错误信息提示错误调试设置,让程序告诉我们2021-05-12
最近考虑用dedecms做个大数据量的网站,为什么用dedecms呢因为这个系统特别好用,但负载是软肋,很多功能只能自己动手实现了,下面就为大家分享一下具体的方法2021-05-12- 这篇文章主要介绍了加固版织梦CMS整站源码通用安装教程,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2021-03-17
- 这篇文章主要介绍了织梦DEDECMS robots优化设置的具体方法,DEDECMS自带的robots.txt文件设置很简单,并不能完全满足网站的优化要求,需要的朋友可以参考下本篇方法2020-12-02
- 这篇文章主要介绍了Dedecms网站Title标签SEO优化方法,主要涉及到如何实现"三级栏目_二级栏目_一级栏目_网站名称"的问题,需要的朋友可以参考下小编的方法2020-12-02
dedecms文章关键字(自动内链)php5.5以上版本urf-8失效的解决方法
这篇文章主要为大家详细介绍了dedecms文章关键字(自动内链)php5.5以上版本urf-8失效的解决方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下,有需要的朋友可以收藏2020-11-18
最新评论