织梦DedeCMS系统做的一个新站,上传到服务器后,便提示有严重漏洞危险(如下图所示),问该如何解决?
漏洞名称:dedecms任意文件上传漏洞
漏洞公告:dedecms任意文件上传漏洞
危险等级:★★★★★(高危)
漏洞文件:/include/dialog/select_soft_post.php
简介:dedecms变量覆盖漏洞导致任意文件上传。
修复方法:
打开/include/dialog/select_soft_post.php
搜索(大概在72行的样子)
$fullfilename = $cfg_basedir.$activepath.'/'.$filename;
修改为
if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename)))
{
ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit();
}
$fullfilename = $cfg_basedir.$activepath.'/'.$filename;;