织梦在早期版本里面,后台就存在一些大量的富文本编辑器,这些控件里面自带了一些文件的上传入口,因此织梦对上传文件的后缀也就是拓展名进行了非常严格的限制,所以导致了一些hack利用漏洞进行webshell后门入侵从而获得网站的后台权限,下面呆呆源码网跟大家说一下media_add.php dedecms后台文件任意上传漏洞修复方法.

织梦media_add.php dedecms后台文件任意上传漏洞快速解决

文件路径


/dede/media_add.php


这里可以利用我们手头的ftp软件或者织梦后台自带的文件管理器功能进行对文件的修改,打开文件源代码以后搜索大概69行左右代码

搜索代码


$fullfilename = $cfg_basedir.$filename;



替换为


if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止!",'java script:;'); exit(); } $fullfilename = $cfg_basedir.$filename;


 

替换完成以后,这个问题就完美解决了,在此提醒一下,修改文件以及做任何操作都养成一个良好的备份习惯,以免误操作可以及时恢复的隐患.