织梦DedeCMS系统做的一个新站,上传到服务器后,便提示有严重漏洞危险(如下图所示),问该如何解决?



漏洞名称:file_class.php 任意文件上传漏洞


漏洞公告:dedecms v5.7 sp2 任意文件上传漏洞 (CVE-2019-8362)


危险等级:★★★★★(高危)


漏洞文件:/dede/file_class.php


简介:dedecms v5.7 sp2截至2019年2月19日的版本中对编辑相册文件上传校验不严导致可Getshell.


漏洞描述:dedecms的file_class.php文件中存在严重上传漏洞。


修复方法:


打开/dede/file_class.php


找到大概第161行的代码


else if(preg_match("/\.(".$fileexp.")/i",$filename))


修改为:



else if(substr($filename, -strlen($fileexp))===$fileexp)


说明:自行采取了底层/框架统一修复、或者使用了其他的修复方案,可能会导致您虽然已经修复了该漏洞,云盾依然报告存在漏洞,遇到该情况可选择忽略该漏洞提示!


网站出现了漏洞提示,一定要记得及时的修复,以免被不法之人利用挂马,导致网站被降权,到时就追悔莫及了!