DEDECMS_5.6临时安全补丁,修复最近安全问题
建议所有dedecms5.3-5.6以及dedeeims用户修复该问题,并关注官方补丁打上以上补丁后如果有软件栏目的也还建议关闭软件投稿功能,不愿意打补丁的要把所有投稿功能关闭
由于dedecms没有对上传文件进行严格检查,存在伪装图片上传危险
问题:新建一个文本文件,任意输入内容,在开头加上"gif89a ”,然后把文件后缀改为图片格式gif,即可上传
利用方法在这里不便告知
修复:
打开include/uploadsafe.inc.php
找到 if(empty(${$_key.'_size'}))
{
${$_key.'_size'} = @filesize($_key);
}在下面加上 $p_arr = array("image/pjpeg","image/jpeg","image/gif","image/png","image/xpng","image/wbmp");
if(in_array(strtolower(trim(${$_key.'_type'})),$p_arr))
{
$image_dd= @getimagesize($_key);
if (!in_array($image_dd,array(1,2,3)))
{
exit('请不要执行非法操作');
}
}5.6gbk版程序的可以直接下载我附件覆盖即可,uft8版请不要用记事本修改程序
test.zip里的图片即为测试图片,如果你的系统能上传该图片即表示存在问题
页:
[1]