dedecms对于大多数站长来说虽然很好用,但是有一点很让站长痛疼就是漏洞太多。最近老米收到阿里云安全中心收到两条漏洞修复信息,第一条是uploadsafe.inc.php上传漏洞问题,第二条条是select_soft_post.php上传漏洞。
第一条漏洞原先文章就已经介绍过了。想要修复可以查看《dedecms织梦uploadsafe.inc.php上传漏洞修复方法》。第二条漏洞该如何修复呢?
我们先看看阿里后台对改漏洞的描述:
漏洞名称:dedecms任意文件上传漏洞。
漏洞描述:dedecms变量覆盖漏洞导致任意文件上传。
该漏洞路径为:/include/dialog/select_soft_post.php
原因:在获取完整文件名时,没有将会对服务器造成危害的文件格式过滤掉,因此需要手动添加代码过滤
危险等级:★★★★★(高危)
select_soft_post.php修复方法:
1、在 select_soft_post.php 中找到如下代码:
$fullfilename = $cfg_basedir.$activepath.'/'.$filename;
2、在其上面添加如下代码:
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
ShowMsg("你指定的文件名被系统禁止!",'javascript:;');
exit();
}
如图所示:
保存上传覆盖即可。dedecms任意文件上传漏洞select_soft_post.php修复方法全部介绍完毕。最后提醒一下,修改之前一定要事先保存文件,以免出现错误。
原创文章,标题:dedecms任意文件上传漏洞select_soft_post.php修复方法,如若转载,请注明出处:https://www.laomiseo.com/357.html