所在位置:
首页 >
营销资讯 >
网络营销 > DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞
DedeCMS <=5.7 SP2 file_class.php 任意文件上传漏洞
时间:2022-05-25 23:39:01 | 来源:网络营销
时间:2022-05-25 23:39:01 来源:网络营销
最近有个博友咨询我说,他用织梦DedeCMS系统做的一个新站,上传到服务器后,便提示有严重漏洞危险(如下图所示),问该如何解决?
其实这个漏洞很好解决的,网上也早已公布的修复方法,在此,我便借助亿企邦的平台将修复方法分享如下:
漏洞名称:file_class.php 任意文件上传漏洞
漏洞公告:dedecms v5.7 sp2 任意文件上传漏洞 (CVE-2019-8362)
危险等级:★★★★★(高危)
漏洞文件:/dede/file_class.php
简介:dedecms v5.7 sp2截至2019年2月19日的版本中对编辑相册文件上传校验不严导致可Getshell.
漏洞描述:dedecms的file_class.php文件中存在严重上传漏洞。
修复方法: 打开/dede/file_class.php
找到大概第161行的代码
else if(preg_match("//.(".$fileexp.")/i",$filename))
修改为:
else if(substr($filename, -strlen($fileexp))===$fileexp)
如图所示:
说明:自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示!
亿企邦点评: 网站出现了漏洞提示,一定要记得及时的修复,以免被不法之人利用挂马,导致网站被降权,到时就追悔莫及了!
在线咨询
