零基礎建站培訓教程介紹

當前位置:

阿里云提示dedecms任意文件上傳漏洞解決方法

漏洞名稱:

dedecms任意文件上傳漏洞

漏洞原因:

dedecms早期版本后臺存在大量的富文本編輯器,該控件提供了一些文件上傳接口,同時dedecms對上傳文件的后綴類型未進行嚴格的限制,這導致了黑客可以上傳WEBSHELL,獲取網站后臺權限。

漏洞提示:

阿里云后臺提示

解決方法:

1、打開“自己后臺文件名/media_add.php”文件,找到第69行或者搜索代碼:

$fullfilename = $cfg_basedir.$filename;

修改為:

if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系統禁止!",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$filename;

修改文件前請做好文件備份,將新的media_add.php文件上傳替換阿里云服務器上,然后驗證,即可解決此問題。

發表評論

電子郵件地址不會被公開。 必填項已用*標注

相關教程

學做網站論壇零基礎學建網站課程
双色球现在有什么活动