首页 > CMS > 织梦DEDE > 正文

阿里云服务器提示media_add.php dedecms后台文件任意上传漏洞修复方法

2024-07-12 08:45:25
字体:
来源:转载
供稿:网友
阿里云服务器media_add.php dedecms后台文件任意上传漏洞修复方法
漏洞名称:dedecms后台文件任意上传漏洞
补丁文件:media_add.php
更新时间:2016-07-29 08:46:49
漏洞描述:dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限
 
武林网为大家分享:阿里云服务器media_add.php dedecms后台文件任意上传漏洞修复方法,主要是文件/dede/media_add.php或者/你的后台名字/media_add.php。

搜索

 

			
							
$fullfilename = $cfg_basedir.$filename;
							
	
	 
	(大概在69行左右)
	替换成         
	
	
					
									
if (preg_match('#/.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$filename;
									
			
	 
	武林网提醒:修改文件前请做好文件备份。
                         















上一篇:dedecms common.inc.php SESSION变量覆盖导致SQL注入




下一篇:织梦新版本"所有栏目列表"错位的解决办法






















发表评论
共有条评论












用户名:

密码:





验证码:

 

匿名发表




























学习交流


更多














如何查找有故障的配件

如何查找有故障的配件...


















热门图片


更多












猜你喜欢的新闻








猜你喜欢的关注
























新闻热点











最牛同桌!我考了696分我同桌考了703分


2024-06-26 22:28:41













650分!高二女生考入北大:遗憾不能上高三


2024-06-26 22:26:16













男生估分600只考了397 妈妈:高考虽重要,但不代表所有


2024-06-26 22:23:01













唐尚珺回应是否会直播带货:有人出100万想和他合作!


2024-06-25 19:29:23













名校抢人名场面:清华、北大太拼了!


2024-06-25 19:22:14













男生高考语文满分!网友:第一次听说


2024-06-25 19:19:15




















疑难解答
















图片精选






















网友关注
























关于本站 - 网上投稿 - 商务合作 - 隐私政策 - 网站地图





Copyright © 2008 - 2024 VEVB.COM. All Rights Reserved.武林网 版权所有