DedeCMS V5.7 SP2前台文件上传漏洞

北京时间2018年12月13日，Desdev DedeCMS 5.7 SP2版本爆出了前台文件上传漏洞。攻击者可利用uploads/include/dialoglect_images_post.php文件处的这一漏洞上传并执行任意PHP代码。

安全狗攻防实验室已经关注了事件进展，根据最新的研究分析，我们总结出了一些防护建议，敬请用户知晓。

处置建议

我们总结的临时解决方案如下：

（1）强制将所上传的图片文件的后缀修改成“.jpg”“.png”“.gif”等格式；

（2）使用“白名单”的方式检测上传文件的类型；

（3）优化正则表达式过滤（uploads/include/dialoglect_images_post.php），如图所示。