dedecms早期版本后臺存在大量的富文本編輯器，該控件提供了一些文件上傳接口，同時dedecms對上傳文件的后綴類型未進行嚴格的限制，這導(dǎo)致了黑客可以上傳WEBSHELL，獲取網(wǎng)站后臺權(quán)限。

織夢在安裝到阿里云服務(wù)器后阿里云后臺會提示media_add.php后臺文件任意上傳漏洞，引起的文件是后臺管理目錄下的media_add.php文件，下面跟大家分享一下這個漏洞的修復(fù)方法：

一、找到代碼 require_once(DEDEINC."/image.func.php");  大概20行

在其上面增加：csrf_check();

如圖所示：

二：找到代碼：$filename = $savePath."/".$filename; 大概64行

在其下面增加如下代碼：

如圖所示：