阿里云服務(wù)器提示織夢DedeCMS v5.7 注冊用戶任意文件刪除漏洞,今天秀站網(wǎng)技術(shù)講解下解決辦法。
漏洞簡介:dedecms前臺任意文件刪除(需要會員中心),發(fā)表文章處,對于編輯文章的時候圖片參數(shù)處理不當(dāng),導(dǎo)致了任意文件刪除。
漏洞文件:/member/inc/archives_check_edit.php
漏洞描述:注冊會員用戶可利用此漏洞任意刪除網(wǎng)站文件。
修復(fù)方法:
打開/member/inc/archives_check_edit.php
找到大概第92行的代碼:
$litpic =$oldlitpic;
修改為:
$litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');
切記,請大家修改之前,做好備份工作。
版權(quán)聲明: 本站資源均來自互聯(lián)網(wǎng)或會員發(fā)布,如果侵犯了您的權(quán)益請與我們聯(lián)系,我們將在24小時內(nèi)刪除!謝謝!
轉(zhuǎn)載請注明: 阿里云提示織夢DedeCMS v5.7 注冊用戶任意文件刪除漏洞