请选择 进入手机版 | 继续访问电脑版

织梦站长论坛-织梦无忧助手,dedecmspro官方论坛

 找回密码
 立即注册
搜索
热搜: 活动 交友
查看: 13|回复: 0

最新DEDECMS后台media_add.php任意文件上传漏洞的解决方案

[复制链接]

5

主题

6

帖子

57

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
57
发表于 2020-1-21 09:51:53 | 显示全部楼层 |阅读模式
最近发现该漏洞的可利用的方法变得越来越多种多样!
网上的解决方案貌似也是15年出现的,但是仍旧可以绕过!
因此更新一下我自己的解决方案!这个漏洞一直都有,只不过网上的解决方案有问题,还是可以绕过,我稍微修改了一下而已根目录/后台目录/media_add.php
打开该文件
搜索 :
  1. $filename = $savePath."/".$filename;
复制代码
在该行代码后面插入:

  1. //2020.01.15 衡森 修复DEDECMS后台上传漏洞 BEGIN
  2. if(preg_match("/[[:punct:]]/i", pathinfo(trim($filename),PATHINFO_EXTENSION)) == 0){
  3.         ShowMsg("你指定的文件名非法包含标点符号!",'javascript:;'); exit();
  4. }
  5. if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
  6.         ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit();
  7. }
  8. //2020.01.15 衡森 修复DEDECMS后台上传漏洞 END

复制代码

media_add.php (4.25 KB, 下载次数: 0)
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表