[教程] dedecms后台文件media_add.php任意上传漏洞的解决方法

5 主题	0 回帖	0 积分

发表于 2020-6-11 11:45:22 | 显示全部楼层 |阅读模式

dedecms早期版本后台存在大量的富文本编辑器，该控件提供了一些文件上传接口，同时dedecms对上传文件的后缀类型未进行严格的限制，这导致了黑客可以上传WEBSHELL，获取网站后台权限

media_add.php dedecms后台文件任意上传漏洞修复方法，主要是文件/dede/media_add.php或者/你的后台名字/media_add.php。

搜索

$fullfilename = $cfg_basedir.$filename; (大概在69行左右)

替换成