漏洞描述：

dedecms早期版本后臺存在大量的富文本編輯器，該控件提供了一些文件上傳接口，同時dedecms對上傳文件的后綴類型未進行嚴格的限制，這導致了黑客可以上傳WEBSHELL，獲取網站后臺權限。【注意：該補丁為云盾自研代碼修復方案，云盾會根據(jù)您當前代碼是否符合云盾自研的修復模式進行檢測，如果您自行采取了底層/框架統(tǒng)一修復、或者使用了其他的修復方案，可能會導致您雖然已經修復了該漏洞，云盾依然報告存在漏洞，遇到該情況可選擇忽略該漏洞提示】

(此圖片來源于網絡，如有侵權，請聯(lián)系刪除! )

下面跟大家分享一下這個漏洞的修復方法：

首先找到并打開后臺管理dede目錄下的media_add.php文件，在里面找到如下代碼：

         $fullfilename = $cfg_basedir.$filename;

在其上面添加一段如下代碼：       

         if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){

         ShowMsg("你指定的文件名被系統(tǒng)禁止！",'java script:;');

          exit();

          }