dedecmsV5.7 任意文件上传漏洞修复
2023-09-14 08:59:25 时间
问题文件:在/include/dialog/select_soft_post.php文件
解决方法:
先找到这个文件/include/dialog/select_soft_post.php,找到大概72,73行的
$fullfilename = $cfg_basedir.$activepath.'/'.$filename;
在这行代码之前增加:
//任意文件上传漏洞修复----start----- if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){ ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); } //任意文件上传漏洞修复-----end-----
然后保存上传服务器就OK了!
相关文章
- XSS漏洞介绍及反射型XSS
- Weblogic任意文件上传漏洞(CVE-2019-2618)
- phpMyAdmin 4.8.1 远程文件包含漏洞复现
- Apache ActiveMQ任意文件写入漏洞
- 利用SQL注入漏洞实现MySQL数据库读写文件
- DVWA漏洞演练平台 - 文件上传
- CVE-2018-2894 Weblogic 任意文件上传漏洞
- CVE-2019-2729 Weblogic 反序列化漏洞
- CVE-2020-2555 Weblogic 反序列化漏洞
- Fuxploider:一款针对文件上传漏洞的安全检测与研究工具
- 文件上传之.user.ini文件漏洞利用
- macOS上的漏洞可能让攻击者访问Mac上的所有文件
- 再探Stagefright漏洞——POC与EXP
- 多个视频网站或者视频云要中招,高危漏洞预警: FFmpeg组件爆高危漏洞,利用可读取任意文件内容
- 有了漏洞扫描器,如何用好?一点不成熟的小总结
- Linux系统漏洞分析:保护网站免受攻击(linux漏洞网站)
- PHP multipart/form-data 远程DOS漏洞
- 5危险解除危险警报卸载Redis后关闭5个危险漏洞(卸载redis关闭)
- MySQL漏洞下载文件提权攻击(mysql下载文件提权)
- 网页木马代码例子(里面的文件是漏洞扫描器,呵呵)
- 在漏洞利用Python代码真的很爽
- 在Global.asax文件里实现通用防SQL注入漏洞程序(适应于post/get请求)