1. 首页
  2. 建站教程

DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞

今天阿里云服务器提示了一个织梦漏洞,如下所示,然后去网上找了以下解决办法。

dedecms v5.7 sp2截至2019年2月19日的版本中对编辑相册文件上传校验不严导致可Getshell. 【注意:该补丁为云盾自研代码修复方案,云盾会根据您当前代码是否符合云盾自研的修复模式进行检测,如果您自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示】

DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞

实际上这个漏洞对我们的影响并不是很大, 也可以不修复,因为这个漏洞是利用织梦的会员中心,进行文件上传,而且是要有管理员权限的才可以,我们做织梦安全防护的时候,一般都是删除会员中心的,而且管理员也都是修改过了,所以一般是不需要担心的,当然这个漏洞虽然不是很大,但是看着还是不舒服,我们还是想办法解决一下。

修复建议

1.文件后缀名检测进行重写。 2.对上传文件名进行统一重命名,后缀名只允许为image type类型。 3.对上传文件夹进行限制,不允许执行php。

除了上述方式以外,还可以直接进行代码层面的修改

对于受影响的正则表达式进行强化。限定$cfg_imgtype固定结尾的文件。

include/dialog/select_images_post.php

if(!preg_match("#\.(".$cfg_imgtype.")#i", $imgfile_name))
->
if(!preg_match("#\.(".$cfg_imgtype.")$#i", $imgfile_name))

原创文章,作者:太原SEO,如若转载,请注明出处:https://www.aipinyue.net/jianzhan/1019.html

联系我们

15811163279

在线咨询:点击这里给我发消息

邮件:1608196816@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息