織夢DedeCMS select_soft_post.php任意文件上傳漏洞解決辦法

最近很多建站朋友發現織夢DedeCMS安裝在阿里雲服務器後會在阿里雲後臺提示有一個dedecms任意文件上傳漏洞，引起的文件是織夢安裝目錄下的/include/dialog/select_soft_post.php文件。

原因是在獲取完整文件名的時候沒有將會對服務器造成危害的文件格式過濾掉，所以我們需要手動添加代碼過濾，具體操作方法如下：

 

我們找到並打開/include/dialog/select_soft_post.php文件，在裏面找到如下代碼：

 

1	$fullfilename = $cfg_basedir.$activepath.'/'.$filename;

 

 

在其上面添加如下代碼：

 

1	if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) {

2	ShowMsg("你指定的文件名被系統禁止！",'javascript:;');

3

exit();

4

}

 

 

添加完成後保存替換原來的文件，然後就可以去阿里雲後臺驗證這個漏洞了。