漏洞描述：

dedecms早期版本后臺(tái)存在大量的富文本編輯器，該控件提供了一些文件上傳接口，同時(shí)dedecms對(duì)上傳文件的后綴類型未進(jìn)行嚴(yán)格的限制，這導(dǎo)致了黑客可以上傳WEBSHELL，獲取網(wǎng)站后臺(tái)權(quán)限。【注意：該補(bǔ)丁為云盾自研代碼修復(fù)方案，云盾會(huì)根據(jù)您當(dāng)前代碼是否符合云盾自研的修復(fù)模式進(jìn)行檢測(cè)，如果您自行采取了底層/框架統(tǒng)一修復(fù)、或者使用了其他的修復(fù)方案，可能會(huì)導(dǎo)致您雖然已經(jīng)修復(fù)了該漏洞，云盾依然報(bào)告存在漏洞，遇到該情況可選擇忽略該漏洞提示】

(此圖片來(lái)源于網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系刪除! )

下面跟大家分享一下這個(gè)漏洞的修復(fù)方法：

首先找到并打開(kāi)后臺(tái)管理dede目錄下的media_add.php文件，在里面找到如下代碼：

         $fullfilename = $cfg_basedir.$filename;

在其上面添加一段如下代碼：       

         if (preg_match('#\.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))){

         ShowMsg("你指定的文件名被系統(tǒng)禁止！",'java script:;');

          exit();

          }