select_soft_post.php任意文件上传漏洞

2019-08-02 漏洞修复浏览手机预览

文章来源：http://www.imtr.cn/html/n242.html

漏洞名称：select_soft_post.php任意文件上传漏洞

危险等级：★★★★★（高危）

漏洞文件：/include/dialog/select_soft_post.php

披露时间：2019-05-16

漏洞描述：dedecms变量覆盖漏洞导致任意文件上传。

修复方法：
打开select_soft_post.php
找到第72行的代码：

$fullfilename = $cfg_basedir.$activepath.'/'.$filename;

在这句上面添加过滤代码：

if(preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {ShowMsg("?????????????",'javascript:;');exit();}

此文件漏洞修复如图所示：

原文地址：http://www.imtr.cn/html/n242.html

如果你的问题还没有解决，可以点击页面右侧的“ ”，站长收到问题后会尽快回复解决方案到你的邮箱。
创造始于问题，有了问题才会思考，有了思考，才有解决问题的方法，才有找到独立思路的可能。 —— 陶行知