织梦CMS之select_soft_post.php任意文件上传漏洞修复-源码巴巴网

漏洞说明

漏洞名称：select_soft_post.php任意文件上传漏洞
危险等级：★★★★★（高危）
漏洞文件：/include/dialog/select_soft_post.php
披露时间：2019-05-16
漏洞描述：dedecms变量覆盖漏洞导致任意文件上传。

修复方法

打开include/dialog/select_soft_post.php文件，找到第72行的代码：

$fB t 5 q ] ` i f hullfilename = $cfg_basedir.$p g 6 ? ! 1 c ^ bactivepath.'/'.$filej . { \ ^name;

在这句上面添加O ? ! \ & 5 A过滤代码：

if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|px E V H \ z * b Whp3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("?????????????",'javascript:;'); exit(Z r . w); }

IP 代码文件织梦织梦cms

1. 本站所有资源来源于用户上传和网络，如有侵权请邮件联系站长！
2. 分享目的仅供大家学习和交流，请不要用于商业用途!
3. 如果你也有好源码或者教程，可以到用户中心发布，分享有积分奖励和额外收入！
4. 本站提供的源码、模板、插件等等其他资源，都不包含技术服务请大家谅解！
5. 如有链接无法下载、失效或广告，请联系管理员处理！
6. 本站资源售价只是赞助，收取费用仅维持本站的日常运营所需！
7. 如遇到加密压缩包，请联系管理员！
8. 因为资源和程序源码均为可复制品，所以不支持任何理由的退款兑现，请斟酌后支付下载
声明：如果标题没有注明"已测试"或者"测试可用"等字样的资源源码均未经过站长测试.特别注意没有标注的源码不保证任何可用性

源码巴巴网 » 织梦CMS之select_soft_post.php任意文件上传漏洞修复