欢迎来到六久阁织梦模板网!
织梦DedeCMS SP2 file_class.php 任意文件上传漏洞修复

织梦DedeCMS SP2 file_class.php 任意文件上传漏洞修复

浏览次数: 0

作者: 六久阁织梦模板网

信息来源: 六久阁

更新日期: 2019-05-27

文章简介

阿里云提示网站有漏洞,最新的上传漏洞截图: 漏洞 DedeCMS =5.7 SP2 file_class.php 任意文件上传漏洞 漏洞简介 dedecms v5.7 sp2截至2019年2月19日的版本中对编辑相册文件上传校验不严导致可Getshell. 织梦文件 /dede/file_class.php 漏洞修复方法 打开 /d

  • 正文开始
  • 相关文章

阿里云提示网站有漏洞,最新的上传漏洞截图:

织梦DedeCMS SP2 file_class.php 任意文件上传漏洞修复

漏洞

DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞


漏洞简介

dedecms v5.7 sp2截至2019年2月19日的版本中对编辑相册文件上传校验不严导致可Getshell.


织梦文件

/dede/file_class.php


漏洞修复方法

打开 /dede/file_class.php 找到大概在161行

else if(preg_match("/\.(".$fileexp.")/i",$filename))

改成

else if(substr($filename, -strlen($fileexp))===$fileexp)


说明

自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示。


插件下载说明

未提供下载提取码的插件,都是站长辛苦开发,需收取费用!想免费获取辛苦开发插件的请绕道!

织梦二次开发QQ群

本站客服QQ号:3149518909(点击左边QQ号交流),群号(383578617) DedeCMS织梦教程QQ群 如果您有任何织梦问题,请把问题发到群里,阁主将为您写解决教程!

转载请注明: 织梦模板 » 织梦DedeCMS SP2 file_class.php 任意文件上传漏洞修复

  • 织梦5.7sp2 CSRF保护措施绕过漏洞修复
    阅读
    漏洞名称:dedecms v5.7 CSRF保护措施绕过漏洞 简介 Dedecms V5.7SP2正式版(2018-01-09),对函数输出校验不当导致可以传入恶意数组绕过CSRF防御。 文件 /dede/config.php 织梦漏洞修复方法 打开 /dede/config.php 找到大概在67行 if(!isset($token) || strca...
  • 织梦DedeCMS v 5.7 sp2 RemoveXSS漏洞修复
    阅读
    首先找到/include/helpers/filter.helper.php这个文件 找到$val = preg_replace(/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/, , $val); 在这段代码之前加入:$val = htmlspecialchars($val); 即可 完成...
  • 织梦member/reg_new.php SQL注入漏洞修复
    阅读
    1. 漏洞描述 Dedecms会员中心注入漏洞 2. 漏洞触发条件 /member/reg_new.php?dopost=regbasestep=1mtype=%B8%F6%C8%CBmtype=%B8%F6%C8%CBuserid=123asd123uname=12asd13123userpwd=123123userpwdok=123123email=1213asd123%40QQ.COMsafequestion=1,111111111...
  • 织梦注册用户任意文件删除漏洞archives_check_edit.php
    阅读
    漏洞名称:织梦DedeCMS v5.7 注册用户任意文件删除漏洞 危险等级:★★★★★(高危) 漏洞文件:/member/inc/archives_check_edit.php 披露时间:2017-03-20 漏洞描述:注册会员用户可利用此漏洞任意删除网站文件。 修复方法: 打开/member/inc/archives_chec...
  • 织梦album_add.php文件SQL注入漏洞修复方法
    阅读
    阿里云ECS 安骑士提示织梦DEDECMS /member/album_add.php文件中,对输入参数mtypesid未进行int整型转义,导致SQL注入的发生。 修复方法: 打开dedecms/member/album_add.php文件,查找以下代码(大约220行左右) $description = HtmlReplace($description, -...
  • 织梦漏洞频发,顽固木马后门专杀工具下载
    阅读
    许多织梦网站被黑客入侵并被放置一个文件名“ 90sec.php ”的网站木马文件,第二天又重新出现。经安全联盟站长平台的漏洞修复专家分析,这些站长使用了“ DedeCMS ”建站软件。安全联盟站长平台研究人员分析发现“罪魁祸首”为近期爆发的“高危”安全漏洞所...
  • dedecms织梦select_soft_post.php任意文件上传漏洞解决方案
    阅读
    在阿里云服务器后会在阿里云后台提示有一个 dedecms 任意文件上传漏洞,引起的文件是织梦安装目录下的 /include/dialog/select_soft_post.php 文件。 原因是在获取完整文件名的时候没有将会对服务器造成危害的文件格式过滤掉,所以我们需要手动添加代码过滤...
收藏此文 打赏本站

如本文对您有帮助,就请六久阁织梦模板网抽根烟吧!

  • 支付宝打赏
    支付宝扫描打赏
    微信打赏
    微信扫描打赏
织梦栏目添加英文名称,栏目大图缩略图,栏目小图功能
« 上一篇 2019年05月27日
织梦手机静态生成插件列表分页优化第一页带/m去除方法
下一篇 » 2019年05月26日

精彩评论

有问题在这里提问,阁主会为你解决!
  • 全部评论(0
    还没有评论,快来抢沙发吧!
推荐精品模板更多
网页模板/视频素材/图片分享/源码商城站长交易平台
更新时间:2017-08-10

人已经看过了!

矿山机械设备企业织梦模板 响应式网站
更新时间:2017-08-10

人已经看过了!

重型机械设备响应式织梦模板
更新时间:2017-08-10

人已经看过了!

高端大气装修装饰公司营销官网(带手机端带筛选)
更新时间:2017-11-01

人已经看过了!

木质地板-家具橱柜织梦模板 带手机版
更新时间:2017-08-10

人已经看过了!

漂亮清爽的织梦会员中心模板带推广邀请发布文章
更新时间:2017-10-24

人已经看过了!

资源文章分享响应式整站源码带测试数据
更新时间:2017-08-10

人已经看过了!