首页>>SEO培训>阿里云提示织梦DedeCMS v5.7 注册用户任意文件删除

阿里云提示织梦DedeCMS v5.7 注册用户任意文件删除

admin SEO培训 2019-11-28 199

 

阿里云服务器提示织梦DedeCMS v5.7 注册用户任意文件删除漏洞,今天织梦58网技术讲解下解决办法。

漏洞简介:dedecms前台任意文件删除(需要会员中心),发表文章处,对于编辑文章的时候图片参数处理不当,导致了任意文件删除。

漏洞文件:/member/inc/archives_check_edit.php

漏洞描述:注册会员用户可利用此漏洞任意删除网站文件。
 

修复方法:

 

打开/member/inc/archives_check_edit.php

 

找到大概第92行的代码:

 

$litpic =$oldlitpic;

 

修改为:

 

$litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

切记,请大家修改之前,做好备份工作。

 

本文地址:https://www.dede58.com/dedecms_aq/1048.html

标签:

友情链接: 通化药业 真空干燥机 公路护栏 钢结构 文化信息网 装修工程 咨询公司 粘度计 服装公司 茶叶专卖 彩钢瓦房 电机设备 电化学工作站 智能科技 免费建站 市政工程 铝合金包装 团购 土工布 专业改名 汽车公司 传感器 商贸零售 叉车 劳务信息 论文论坛 励志文章 教育招生 商贸超市 白癜风医院 3D元素周期表 彼得兔 诌言呓语 此地无胤 时代广场 网格布 水泥制品 汽配厂 网店代运营 信息科技 土工布 图库 南京牛皮癣 牛皮癣医院 电商推广 西安白癜风 土工膜厂家 土工材料 机械租赁