dedecms 教程:DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞

  • A+
所属分类:DedeCms建站

最近有个博友咨询我说,他用织梦DedeCMS系统做的一个新站,上传到服务器后,便提示有严重漏洞危险(如下图所示),问该如何解决?

<img alt="DedeCMS

其实这个漏洞很好解决的,网上也早已公布的修复方法,在此,我便借助马找钱博客的平台将修复方法分享如下:

<img alt="DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞-马找钱博客" src="http://www.mazhaoqian.com/wp-content/uploads/2020/03/20200306211835-5e624dab7e331.jpg" style="width: 600px; height: 340px;" title="DedeCMS

漏洞名称:

file_class.php 任意文件上传漏洞

漏洞公告:

dedecms v5.7 sp2 任意文件上传漏洞 (CVE-2019-8362)

危险等级:

★★★★★(高危)

漏洞文件:

/dede/file_class.php

简介:

dedecms v5.7 sp2截至2019年2月19日的版本中对编辑相册文件上传校验不严导致可Getshell.

漏洞描述:

dedecms的file_class.php文件中存在严重上传漏洞。

修复方法:

打开/dede/file_class.php

找到大概第161行的代码

else if(preg_match("/\.(".$fileexp.")/i",$filename))

修改为:

else if(substr($filename, -strlen($fileexp))===$fileexp)

如图所示:

<img alt="DedeCMS

说明:

自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示!

马找钱博客点评:

网站出现了漏洞提示,一定要记得及时的修复,以免被不法之人利用挂马,导致网站被降权,到时就追悔莫及了!

  • 我的微信
  • 技术咨询
  • weinxin
  • 微信公众号
  • 营销技巧分享
  • weinxin
马找钱

发表评论

:?::razz::sad::evil::!::smile::oops::grin::eek::shock::???::cool::lol::mad::twisted::roll::wink::idea::arrow::neutral::cry::mrgreen: