select_soft_post.php任意文件上传漏洞
漏洞名称:select_soft_post.php任意文件上传漏洞
危险等级:★★★★★(高危)
漏洞文件:/include/dialog/select_soft_post.php
披露时间:2019-05-16
漏洞描述:dedecms变量覆盖漏洞导致任意文件上传。
修复方法: 打开select_soft_post.php 找到第125行的代码(有些文件不一样建议搜索代码):
$fullfilename = $cfg_basedir.$activepath.'/'.$filename;在这句上面添加过滤代码:
if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)1+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); exit(); }此文件漏洞修复如图所示:
- a-zA-Z0-9 ↩
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2020 年 04 月,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
相关产品与服务
脆弱性检测服务
脆弱性检测服务(Vulnerability detection Service,VDS)在理解客户实际需求的情况下,制定符合企业规模的漏洞扫描方案。通过漏洞扫描器对客户指定的计算机系统、网络组件、应用程序进行全面的漏洞检测服务,由腾讯云安全专家对扫描结果进行解读,为您提供专业的漏洞修复建议和指导服务,有效地降低企业资产安全风险。
腾讯云开发者
