dedeCMS任意文件上传漏洞select_soft_post.php的修复方

乐清SEO_开发应用_dedecms_ 乐清SEO2021-01-13 转载自:

对于大多数站长来说,使用织梦程序搭建的网站最头疼的问题就是安全问题了,近期博主也多次收到阿里云后台的信息提示网站存在一些漏洞需要及时处理。进入阿里云后台,我查看了一番漏洞提示:dedecms任意文件上传漏洞;原因是:dedecms变量覆盖漏洞导致任意文件上传,如下图所示:

dedeCMS任意文件上传漏洞select_soft_post.php的修复方法-马海祥博客

该漏洞所处的路径为:/include/dialog/select_soft_post.php,对于该漏洞,我去网上查找了一下,发现存在这种情况的网站还真是不少,还好解决方法也比较简单,便找到了修复方法,在此,我便借助马海祥博客的平台将修复方法分享如下:

dedeCMS任意文件上传漏洞select_soft_post.php的修复方法-马海祥博客

漏洞名称:dedecms任意文件上传漏洞

危险等级:★★★★★(高危)

漏洞文件:/include/dialog/select_soft_post.php

漏洞描述:dedecms变量覆盖漏洞导致任意文件上传。

修复方法:

查找并打开根目录下的include文件夹,打开/include/dialog/select_soft_post.php文件,找到大概在72行的一段代码:

$fullfilename = $cfg_basedir.$activepath.'/'.$filename;

在它上面加入:

if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {
ShowMsg("你指定的文件名被系统禁止!",'javascript:;');
exit();

如下图所示:

dedeCMS任意文件上传漏洞select_soft_post.php的修复方法-马海祥博客

说明:自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示。

提醒大家一点,作为一个非资深技术人员,在修改网站文件前请先做好文件备份,以免修改错误导致无法恢复,影响网站的正常使用。

再者就是网站出现了漏洞提示,一定要记得及时的修复,以免被不法之人利用挂马,导致网站被降权,到时就追悔莫及了!