本站源码全部测试通过,配有前台及后台演示图,绿色安全,希望能对大家有所帮助!
  • 首 页
  • VPS/云主机
  • 交流论坛
  • 阿里云提示织梦DedeCMS v5.7 注册用户任意文件删除漏洞
    时间:2019-07-16 06:51 来源:开源之家 作者:开源之家

    阿里云服务器提示织梦DedeCMS v5.7 注册用户任意文件删除漏洞,今天开源之家技术讲解下解决办法。

    漏洞简介:dedecms前台任意文件删除(需要会员中心),发表文章处,对于编辑文章的时候图片参数处理不当,导致了任意文件删除。

    漏洞文件:/member/inc/archives_check_edit.php

    漏洞描述:注册会员用户可利用此漏洞任意删除网站文件。
     

    修复方法:

     

    打开/member/inc/archives_check_edit.php

     

    找到大概第92行的代码:

     

    $litpic =$oldlitpic;

     

    修改为:

     

    $litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

    切记,请大家修改之前,做好备份工作。


    版权声明:
    —— 本文内容由互联网用户自发贡献, 本站不拥有所有权, 不承担相关法律责任, 如果发现本站有涉嫌抄袭的内容, 欢迎发送邮件至 :
    —— [email protected] 举报, 并提供相关证据, 一经查实, 本站将立刻删除涉嫌侵权内容。

    开源之家广告栏目A
    开源之家广告栏目B
    开源之家广告栏目C
    在线客服
    客服微信

    扫一扫......加客服微信