dedecms select_soft_post.php任意文件上傳漏洞修復

原創 jingccj  2019-08-05 09:55:00  閱讀 640 次 評論 0 條

漏洞公告:dedecms任意文件上傳漏洞

簡介:dedecms變量覆蓋漏洞導致任意文件上傳。

修復方案

方案一:使用云盾自研補丁進行一鍵修復; 
方案二:更新該軟件到官方最新版本或尋求該軟件提供商的幫助。 
【注意:該補丁為云盾自研代碼修復方案,云盾會根據您當前代碼是否符合云盾自研的修復模式進行檢測,如果您自行采取了底層/框架統一修復、或者使用了其他的修復方案,可能會導致您雖然已經修復了該漏洞,云盾依然報告存在漏洞,遇到該情況可選擇忽略該漏洞提示】

其實這里只要添加三行代碼即可。查找

$fullfilename = $cfg_basedir.$activepath.'/'.$filename;

在它前面加上如下代碼即可:

if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
	ShowMsg("你指定的文件名被系統禁止!",'javascript:;');
	exit();
}

TIM截圖20190805095429.png

保存完驗證一下,提示漏洞失效。

本文地址:http://www.joutvc.tw/post/2006.html
版權聲明:本文為原創文章,版權歸 jingccj 所有,歡迎分享本文,轉載請保留出處!

發表評論


表情

還沒有留言,還不快點搶沙發?