最新DedeCMS后台文件任意上传漏洞select_soft_post.php修补教程

近期登陆阿里云服务器后台查看数据,发现一个这样的CMS漏洞提示预警:

最新DedeCMS后台文件任意上传漏洞select_soft_post.php修补教程

修复原理相同,根据路径来看,是dedecms变量覆盖漏洞导致任意文件上传修复:/include/dialog/select_soft_post.php文件,其实修复起来也很简单,在里面找到如下代码:

$fullfilename = $cfg_basedir.$activepath.’/’.$filename;

最新DedeCMS后台文件任意上传漏洞select_soft_post.php修补教程

在其下面加上代码:

if?(preg_match(‘#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i’, trim($filename))) {
ShowMsg(“你指定的文件名被系统禁止!”,’javascript:;’);
exit();
}

最新DedeCMS后台文件任意上传漏洞select_soft_post.php修补教程

上传覆盖,在阿里云后台验证通过,完美解决此漏洞!

本文来自余斗个人博客,经授权后发布,本文观点不代表新科网立场,转载请联系原作者。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

雪缘网足球彩票比分直播