注册 登录 欢迎您到模板精:织梦模板_dede模板_免费网站模板_网站源码下载

织梦教程_免费织梦模板下载_dede模板

该栏目分享织梦建站的基础知识,从织梦CMS的安装,到织梦标签的常规调用,以及织梦的常见问题答疑都有涉及。

当前位置:首页 > 织梦教程 >

DedeCMS织梦后台文件任意上传漏洞media_add.php的修改方法

免费网站模板 2020-09-17 10:22 织梦教程 评论
网站迁移到阿里云之后,一直提示有一个漏洞,如下:
 
漏洞名称:dedecms后台文件任意上传漏洞
 
补丁文件:media_add.php
 
漏洞描述:dedecms早期版本后台存在大量的富文本编辑器,该控件提供了一些文件上传接口,同时dedecms对上传文件的后缀类型未进行严格的限制,这导致了黑客可以上传WEBSHELL,获取网站后台权限。
 
 
 
修改这个漏洞也是很简单,主要是文件/dede/media_add.php或者/你的后台名字/media_add.php的修改。
 
 
 
解决方法:
 
1、打开dede/media_add.php文件,找到第69行或者搜索代码:
 
 
$fullfilename = $cfg_basedir.$filename;
 
修改为:
 
 
if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$filename;
 
修改文件前请做好文件备份,将新的media_add.php文件上传替换阿里云服务器上即可解决此问题。
 

 

本文标签:

版权说明:如非注明,本站文章均为 dede模板_织梦网站模板_网站源码下载_模板精 原创,转载请注明出处和附带本文链接

我猜你还喜欢这些...

栏目分类
最新评论
标签云
织梦后台修改 (2) 织梦二次开发 (4) 自适应模板 (21) 批量删除 (1) 织梦权限设置 (1) css (1) 自定义表单 (5) 织梦博客模板 (1) 网站地图 (1) 织梦SEO (2) 织梦缩略图 (1) 织梦站内优化 (1) 建站天数调用 (1) 导航栏 (1) 织梦备份还原 (1) 织梦安全 (1) 百度云限速破解 (1) 织梦介绍 (1) 织梦数据库 (1) 织梦函数 (1) 织梦文件说明 (1) 织梦标签改造 (1) 织梦搜索 (1) 织梦标签 (4) 织梦视频栏目 (1) 织梦插件 (1) 织梦tag (1) 韩顺平织梦二次开发 (6) 织梦技术 (2) 手机模板 (4) 网络营销 (1) 服务器 (2) 织梦基础 (4) Gzip压缩 (1) 栏目高亮 (1) 后盾46课 (3)

  • Powered By 模板精 ·Copyright · 2016-2023 | 织梦模板,dede模板,免费网站模板,网站源码下载,手机网站模板