dedecms后台文件任意上传漏洞(media_add.php)

文件:media_add.php

路径:.../dede/media_add.php

解决方案:

查找文件位置:/dede/media_add.php ,大概在69行左右,找到:

$fullfilename = $cfg_basedir.$filename;

修改为:

if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { 
	ShowMsg("你指定的文件名被系统禁止!",'javascript:;'); 
	exit(); 
} 
$fullfilename = $cfg_basedir.$filename;

 

你可能感兴趣的:(dede,/,织梦)