您现在的位置是:主页 > 网站建设 >

dedecms任意文件上传漏洞select_soft_post.php修复方法

2020-06-25 16:54网站建设 人已围观 文章来源:未知

简介dedecms对于大多数站长来说虽然很好用,但是有一点很让站长痛疼就是漏洞太多。最近老米收到阿里云安全中心收到两条漏洞修复信息,第一条是uploadsafe.inc.php上传漏洞问题,第二条条是...

   dedecms对于大多数站长来说虽然很好用,但是有一点很让站长痛疼就是漏洞太多。最近老米收到阿里云安全中心收到两条漏洞修复信息,第一条是uploadsafe.inc.php上传漏洞问题,第二条条是select_soft_post.php上传漏洞。
 
   第一条漏洞原先文章就已经介绍过了。想要修复可以查看《dedecms织梦uploadsafe.inc.php上传漏洞修复方法》。第二条漏洞该如何修复呢?
 
   我们先看看阿里后台对改漏洞的描述:
 
   漏洞名称:dedecms任意文件上传漏洞。
 
   漏洞描述:dedecms变量覆盖漏洞导致任意文件上传。

   该漏洞路径为:/include/dialog/select_soft_post.php
 
   原因:在获取完整文件名时,没有将会对服务器造成危害的文件格式过滤掉,因此需要手动添加代码过滤

   危险等级:★★★★★(高危)
阿里后台对该漏洞的描述

   select_soft_post.php修复方法:
 
   1、在 select_soft_post.php 中找到如下代码:
 
   $fullfilename = $cfg_basedir.$activepath.'/'.$filename;
 
   2、在其上面添加如下代码:
 
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
    ShowMsg("你指定的文件名被系统禁止!",'javascript:;');
    exit();
}
 
   如图所示:
 
添加代码位置

   保存上传覆盖即可。dedecms任意文件上传漏洞select_soft_post.php修复方法全部介绍完毕。最后提醒一下,修改之前一定要事先保存文件,以免出现错误。

Tags: 漏洞  DedeCms  select_soft_  方法 

站点信息

  • 文章统计466篇文章
  • 标签管理标签云
  • 微信公众号:扫描二维码,关注我们