漏洞描述：

dedecms早期版本后臺存在大量的富文本編輯器，該控件提供了一些文件上傳接口，同時dedecms對上傳文件的后綴類型未進行嚴(yán)格的限制，這導(dǎo)致了黑客可以上傳WEBSHELL，獲取網(wǎng)站后臺權(quán)限。【注意：該補丁為云盾自研代碼修復(fù)方案，云盾會根據(jù)您當(dāng)前代碼是否符合云盾自研的修復(fù)模式進行檢測，如果您自行采取了底層/框架統(tǒng)一修復(fù)、或者使用了其他的修復(fù)方案，可能會導(dǎo)致您雖然已經(jīng)修復(fù)了該漏洞，云盾依然報告存在漏洞，遇到該情況可選擇忽略該漏洞提示】

(此圖片來源于網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系刪除! )

下面跟大家分享一下這個漏洞的修復(fù)方法：

首先找到并打開后臺管理dede目錄下的media_add.php文件，在里面找到如下代碼：

         $fullfilename = $cfg_basedir.$filename;

在其上面添加一段如下代碼：       

         if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){

         ShowMsg("你指定的文件名被系統(tǒng)禁止！",'java script:;');

          exit();

          }