建议所有dedecms5.3-5.6以及dedeeims用户修复该问题,并关注官方补丁
打上以上补丁后如果有软件栏目的也还建议关闭软件投稿功能,不愿意打补丁的要把所有投稿功能关闭
由于dedecms没有对上传文件进行严格检查,存在伪装图片上传危险
问题:新建一个文本文件,任意输入内容,在开头加上"gif89a ”,然后把文件后缀改为图片格式gif,即可上传
利用方法在这里不便告知
修复:
打开include/uploadsafe.inc.php
找到- if(empty(${$_key.'_size'}))
- {
- ${$_key.'_size'} = @filesize($_key);
- }
- $p_arr = array("image/pjpeg","image/jpeg","image/gif","image/png","image/xpng","image/wbmp");
- if(in_array(strtolower(trim(${$_key.'_type'})),$p_arr))
- {
- $image_dd= @getimagesize($_key);
- if (!in_array($image_dd[2],array(1,2,3)))
- {
- exit('请不要执行非法操作');
- }
- }
test.zip里的图片即为测试图片,如果你的系统能上传该图片即表示存在问题
include.tar.gz
(844 Bytes, 下载次数: 725)
test.zip
(283 Bytes, 下载次数: 667)
|
|Archiver|手机版|小黑屋|管理员之家
( 苏ICP备2023053177号-2 )
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
