DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞

今天阿里云服务器提示了一个织梦漏洞,如下所示,然后去网上找了以下解决办法。

dedecms v5.7 sp2截至2019年2月19日的版本中对编辑相册文件上传校验不严导致可Getshell. 【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】

DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞

实际上这个漏洞对我们的影响并不是很大, 也可以不修复,因为这个漏洞是利用织梦的会员中心,进行文件上传,而且是要有管理员权限的才可以,我们做织梦安全防护的时候,一般都是删除会员中心的,而且管理员也都是修改过了,所以一般是不需要担心的,当然这个漏洞虽然不是很大,但是看着还是不舒服,我们还是想办法解决一下。

修复建议

1.文件后缀名检测进行重写。 2.对上传文件名进行统一重命名,后缀名只允许为image type类型。 3.对上传文件夹进行限制,不允许执行php。

除了上述方式以外,还可以直接进行代码层面的修改

对于受影响的正则表达式进行强化。限定$cfg_imgtype固定结尾的文件。

include/dialog/select_images_post.php

if(!preg_match("#\.(".$cfg_imgtype.")#i", $imgfile_name))
->if(!preg_match("#\.(".$cfg_imgtype.")$#i", $imgfile_name))

声明:有的资源均来自网络转载,版权归原作者所有,如有侵犯到您的权益 请联系邮箱:1608196816@qq.com 我们将配合处理!

原文地址:DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞

相关推荐

阿里云dedecms过滤逻辑不严导致上传漏洞

2020-07-02 14:47:03 21
我的博客是用织梦搭建的,大家都知道织梦漏洞还是比较多的,需要做好安全,今天登陆阿里云控制台的时候,发现阿里云提示有一个cms漏洞,赶紧看了一下是dedecms过滤逻辑不严导致上传漏洞,如下图:解决方法

DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞

2020-06-06 11:19:00 334
今天阿里云服务器提示了一个织梦漏洞,如下所示,然后去网上找了以下解决办法。dedecmsv5.7sp2截至2019年2月19日的版本中对编辑相册文件上传校验不严导致可Getshell.【注意:该补丁为

如何快速去除织梦版权信息Power by DedeCms

2020-05-17 12:17:52 308
在做好网站后,发现在网站底部有显示的是织梦版权信息PowerbyDedeCms,我们当然不想要这个连接,那么如何去除呢?1、首先打开网站的根目录,找到include文件2、找到dedesql.clas

dedecms适合seo吗,哪种CMS有利于SEO

2020-05-17 11:59:41 113
很多朋友在做网站的时候,首先想要选择的就是如何选择一款有利于SEO的程序,织梦又叫做dedecms,是目前最为常见的,也是广大用户使用最多的免费开源程序,那么dedecms适合SEO吗?下面我们就来简

织梦dedecms自动给文章图片添加alt属性

2020-05-17 11:59:26 985
为图片添加alt属性,非常有利于搜索引擎抓取网站图片,否则搜索引擎蜘蛛是不能识别图片的,当我们发布文章有很多图片时,如果一个一个的添加alt属性,那么就太麻烦了,那么如何自动给文章图片添加alt属性呢

[解决]dededecms后台更新栏目文章显示模版不存在

2020-05-17 11:41:43 134
今天又为同学问到,自己发布玩文章后,到后台更新栏目,还有文章,都显示模板不存在,不知道这是为什么?然后我帮他解决了一下,一般都是那几个问题,今天就列举出来。第一种情况,模板没有选择对织梦默认的模板都是

阿里云dedecms变量覆盖漏洞dedesql.class.php

2020-05-17 11:33:57 269
我的网站是用的阿里云服务器,系统是织梦cms,今天查看服务器的时候,发现阿里云提示有漏洞,如上图所示,织梦变量覆盖漏洞,路径地址为/include/dedesql.class.php,然后找到了解决方