dedecms任意文件上传漏洞select_soft_post.php修复方法

dedecms对于大多数站长来说虽然很好用,但是有一点很让站长痛疼就是漏洞太多。最近老米收到阿里云安全中心收到两条漏洞修复信息,第一条是uploadsafe.inc.php上传漏洞问题,第二条条是

   dedecms对于大多数站长来说虽然很好用,但是有一点很让站长痛疼就是漏洞太多。最近老米收到阿里云安全中心收到两条漏洞修复信息,第一条是uploadsafe.inc.php上传漏洞问题,第二条条是select_soft_post.php上传漏洞。
 
   第一条漏洞原先文章就已经介绍过了。想要修复可以查看《dedecms织梦uploadsafe.inc.php上传漏洞修复方法》。第二条漏洞该如何修复呢?
 
   我们先看看阿里后台对改漏洞的描述:
 
   漏洞名称:dedecms任意文件上传漏洞。
 
   漏洞描述:dedecms变量覆盖漏洞导致任意文件上传。

   该漏洞路径为:/include/dialog/select_soft_post.php
 
   原因:在获取完整文件名时,没有将会对服务器造成危害的文件格式过滤掉,因此需要手动添加代码过滤

   危险等级:★★★★★(高危)

阿里后台对该漏洞的描述

   select_soft_post.php修复方法:
 
   1、在 select_soft_post.php 中找到如下代码:
 
   $fullfilename = $cfg_basedir.$activepath.'/'.$filename;
 
   2、在其上面添加如下代码:
 
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
    ShowMsg("你指定的文件名被系统禁止!",'javascript:;');
    exit();
}
 
   如图所示:
 
添加代码位置

   保存上传覆盖即可。dedecms任意文件上传漏洞select_soft_post.php修复方法全部介绍完毕。最后提醒一下,修改之前一定要事先保存文件,以免出现错误。

原创文章,标题:dedecms任意文件上传漏洞select_soft_post.php修复方法,如若转载,请注明出处:https://www.laomiseo.com/357.html

(0)
上一篇 2020年6月6日 上午4:04
下一篇 2020年6月27日 上午4:26

相关推荐

发表评论

您的电子邮箱地址不会被公开。