织梦DedeCms任意文件上传漏洞修复

织梦DedeCMS系统做的一个新站，上传到服务器后，便提示有严重漏洞危险（如下图所示），问该如何解决？

漏洞名称：dedecms任意文件上传漏洞

漏洞公告：dedecms任意文件上传漏洞

危险等级：★★★★★（高危）


漏洞文件：/include/dialog/select_soft_post.php


简介：dedecms变量覆盖漏洞导致任意文件上传。




修复方法：


打开/include/dialog/select_soft_post.php

搜索(大概在72行的样子)      

$fullfilename = $cfg_basedir.$activepath.'/'.$filename;      

修改为      

if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename)))


{


ShowMsg("你指定的文件名被系统禁止！",'javascript:;'); exit();


}


$fullfilename = $cfg_basedir.$activepath.'/'.$filename;;