Dedecms前台文件上传漏洞CVE-2018-20129¶ 影响版本¶ dedecmsV5.7 SP2 漏洞成因¶ 管理员用户前台可以绕过限制上传shell 复现¶ 登录并进入 member/article\_add.php 发布文章,选择下面的富文本编辑器插入图片 选 择好 shell 并上传抓包 向如上分析修改文件名与content-type,即可返回 shell 地址 修复意见¶ 在最后拼接文件名时再判断一次。