- A+
最近有个博友咨询我说,他用织梦DedeCMS系统做的一个新站,上传到服务器后,便提示有严重漏洞危险(如下图所示),问该如何解决?
<img alt="DedeCMS
其实这个漏洞很好解决的,网上也早已公布的修复方法,在此,我便借助马找钱博客的平台将修复方法分享如下:
<img alt="DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞-马找钱博客" src="http://www.mazhaoqian.com/wp-content/uploads/2020/03/20200306211835-5e624dab7e331.jpg" style="width: 600px; height: 340px;" title="DedeCMS
漏洞名称:
file_class.php 任意文件上传漏洞
漏洞公告:
dedecms v5.7 sp2 任意文件上传漏洞 (CVE-2019-8362)
危险等级:
★★★★★(高危)
漏洞文件:
/dede/file_class.php
简介:
dedecms v5.7 sp2截至2019年2月19日的版本中对编辑相册文件上传校验不严导致可Getshell.
漏洞描述:
dedecms的file_class.php文件中存在严重上传漏洞。
修复方法:
打开/dede/file_class.php
找到大概第161行的代码
else if(preg_match("/\.(".$fileexp.")/i",$filename))
修改为:
else if(substr($filename, -strlen($fileexp))===$fileexp)
如图所示:
<img alt="DedeCMS
说明:
自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示!
马找钱博客点评:
网站出现了漏洞提示,一定要记得及时的修复,以免被不法之人利用挂马,导致网站被降权,到时就追悔莫及了!
- 我的微信
- 技术咨询
-
- 微信公众号
- 营销技巧分享
-
