DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞

乐清SEO_开发应用_dedecms_ 乐清SEO2021-01-13 转载自:

最近有个博友咨询我说,他用织梦DedeCMS系统做的一个新站,上传到服务器后,便提示有严重漏洞危险(如下图所示),问该如何解决?

DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞-马海祥博客

其实这个漏洞很好解决的,网上也早已公布的修复方法,在此,我便借助马海祥博客的平台将修复方法分享如下:

DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞-马海祥博客

漏洞名称:file_class.php 任意文件上传漏洞

漏洞公告:dedecms v5.7 sp2 任意文件上传漏洞 (CVE-2019-8362)

危险等级:★★★★★(高危)

漏洞文件:/dede/file_class.php

简介:dedecms v5.7 sp2截至2019年2月19日的版本中对编辑相册文件上传校验不严导致可Getshell.

漏洞描述:dedecms的file_class.php文件中存在严重上传漏洞。

修复方法:

打开/dede/file_class.php

找到大概第161行的代码

else if(preg_match("/\.(".$fileexp.")/i",$filename))

修改为:

else if(substr($filename, -strlen($fileexp))===$fileexp)

如图所示:

DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞-马海祥博客

说明:自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示!

网站出现了漏洞提示,一定要记得及时的修复,以免被不法之人利用挂马,导致网站被降权,到时就追悔莫及了!