首页>>SEO培训>阿里云提示织梦DedeCMS v5.7 注册用户任意文件删除

阿里云提示织梦DedeCMS v5.7 注册用户任意文件删除

admin SEO培训 2019-11-28 242

 

阿里云服务器提示织梦DedeCMS v5.7 注册用户任意文件删除漏洞,今天织梦58网技术讲解下解决办法。

漏洞简介:dedecms前台任意文件删除(需要会员中心),发表文章处,对于编辑文章的时候图片参数处理不当,导致了任意文件删除。

漏洞文件:/member/inc/archives_check_edit.php

漏洞描述:注册会员用户可利用此漏洞任意删除网站文件。
 

修复方法:

 

打开/member/inc/archives_check_edit.php

 

找到大概第92行的代码:

 

$litpic =$oldlitpic;

 

修改为:

 

$litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

切记,请大家修改之前,做好备份工作。

 

本文地址:https://www.dede58.com/dedecms_aq/1048.html

标签:

友情链接: 通化药业 公路护栏 钢结构 文化信息网 咨询公司 粘度计 市政工程 土工布 专业改名 彩钢瓦房 电化学工作站 智能科技 汽车公司 传感器 叉车 劳务信息 论文论坛 教育招生 白癜风医院 信息科技 此地无胤 时代广场 网格布 水泥制品 汽配厂 南京牛皮癣 牛皮癣医院 土工膜厂家 家具厂家 岩棉板 真空镀膜机