代理加盟 2020全新代理計劃 賺錢+省錢雙管齊下,獨立平臺,豐厚利潤!

您現在的位置: 秀站網 > 織夢大學 > 織夢安全 >

阿里云提示織夢DedeCMS v5.7 注冊用戶任意文件刪除漏洞

來源:本站原創 發布時間:2019-03-19 22:26:49熱度:我要評論(0

免費下載,無需注冊無需充值

阿里云服務器提示織夢DedeCMS v5.7 注冊用戶任意文件刪除漏洞,今天秀站網技術講解下解決辦法。

漏洞簡介:dedecms前臺任意文件刪除(需要會員中心),發表文章處,對于編輯文章的時候圖片參數處理不當,導致了任意文件刪除。

漏洞文件:/member/inc/archives_check_edit.php

漏洞描述:注冊會員用戶可利用此漏洞任意刪除網站文件。
 

修復方法:

 

打開/member/inc/archives_check_edit.php

 

找到大概第92行的代碼:

 

$litpic =$oldlitpic;

 

修改為:

 

$litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

切記,請大家修改之前,做好備份工作。

轉載請注明來源網址:http://www.yxrxyy.live/dedecms_aq/1048.html

    發表評論

    評論列表(條)

      北京28是什么彩票