于是在網(wǎng)上查詢了一番,便找到了修復(fù)方法,在此,我便借助億企邦的平臺將修復(fù)方法分享如下:

漏洞名稱:dedecms后臺文件任意上傳漏洞

危險(xiǎn)等" />

国产成人精品无码青草_亚洲国产美女精品久久久久∴_欧美人与鲁交大毛片免费_国产果冻豆传媒麻婆精东

18143453325 在線咨詢 在線咨詢
18143453325 在線咨詢
所在位置: 首頁 > 營銷資訊 > 網(wǎng)絡(luò)營銷 > DedeCMS后臺文件任意上傳漏洞media_add.php的修復(fù)方法

DedeCMS后臺文件任意上傳漏洞media_add.php的修復(fù)方法

時(shí)間:2022-05-25 22:36:01 | 來源:網(wǎng)絡(luò)營銷

時(shí)間:2022-05-25 22:36:01 來源:網(wǎng)絡(luò)營銷

最近,公司的網(wǎng)站遷移到阿里云之后,一直提示有一個漏洞需要緊急修復(fù),如下圖所示:

于是在網(wǎng)上查詢了一番,便找到了修復(fù)方法,在此,我便借助億企邦的平臺將修復(fù)方法分享如下:

漏洞名稱:dedecms后臺文件任意上傳漏洞

危險(xiǎn)等級:★★★★★(高危)

漏洞文件:/dede/media_add.php

漏洞描述:dedecms早期版本后臺存在大量的富文本編輯器,該控件提供了一些文件上傳接口,同時(shí)dedecms對上傳文件的后綴類型未進(jìn)行嚴(yán)格的限制,這導(dǎo)致了黑客可以上傳WEBSHELL,獲取網(wǎng)站后臺權(quán)限。

修復(fù)方法:

修改這個漏洞也是很簡單,主要是文件/dede/media_add.php 或者 /你的后臺名字/media_add.php的修改。

查找并打開/dede/media_add.php文件,找到第69行或者搜索代碼:

$fullfilename = $cfg_basedir.$filename;

修改為:

if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系統(tǒng)禁止!",'javascript:;'); exit(); }
$fullfilename = $cfg_basedir.$filename;

如下圖所示:

修改之后,上傳覆蓋,將新的media_add.php文件上傳替換阿里云服務(wù)器上,在阿里云后臺驗(yàn)證通過,即可解決此漏洞提示問題!

億企邦點(diǎn)評:

提醒大家一點(diǎn),作為一個非資深技術(shù)人員,在修改網(wǎng)站文件前請先做好文件備份,以免修改錯誤導(dǎo)致無法恢復(fù),影響網(wǎng)站的正常使用。

關(guān)鍵詞:修復(fù),方法,漏洞

74
73
25
news

版權(quán)所有? 億企邦 1997-2022 保留一切法律許可權(quán)利。

為了最佳展示效果,本站不支持IE9及以下版本的瀏覽器,建議您使用谷歌Chrome瀏覽器。 點(diǎn)擊下載Chrome瀏覽器
關(guān)閉