任意文件上传漏洞/include/dialog/select_soft_post.php修复方法

  浏览次数:   来源:郑州网站建设  作者:郑州网站制作  标签: 漏洞 织梦

内容摘要:漏洞名称: dedecms任意文件上传漏洞。 漏洞描述: dedecms变量覆盖漏洞导致任意文件上传。 该漏洞路径为: /include/dialog/select_soft_post.php 原因: 在获取完整文件名时,没有将会对服务器造成危害的文件格式过滤掉,因此需要手动添加代码过滤 危险等级: ★★★★★(高危)
漏洞名称:dedecms任意文件上传漏洞。
 
漏洞描述:dedecms变量覆盖漏洞导致任意文件上传。

该漏洞路径为:/include/dialog/select_soft_post.php
 
原因:在获取完整文件名时,没有将会对服务器造成危害的文件格式过滤掉,因此需要手动添加代码过滤

危险等级:★★★★★(高危)

/include/dialog/select_soft_post.php修复方法:
 
1、在 select_soft_post.php 中找到如下代码:
 $fullfilename = $cfg_basedir.$activepath.'/'.$filename;

2、在其上面添加如下代码:

if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
    ShowMsg("你指定的文件名被系统禁止!",'javascript:;');
    exit();
}

保存上传覆盖即可。dedecms任意文件上传漏洞/include/dialog/select_soft_post.php修复方法全部介绍完了。
最后提醒一下,修改之前一定要事先保存文件,以免出现错误。
 

网站文章纠正或建议请致电:0371-86590010 或邮箱联系:136109548@qq.com