花魁直播高品质美女在线视频互动社区 - 花魁直播官方版

 歡迎來到素材無憂網(wǎng),按 + 收藏我們
登錄 注冊 退出 找回密碼

阿里云提示織夢DedeCMS v5.7 注冊用戶任意文件刪除漏洞

時間: 2019-03-13 02:54 閱讀: 作者:素材無憂網(wǎng)

阿里云服務(wù)器提示織夢DedeCMS v5.7 注冊用戶任意文件刪除漏洞,今天秀站網(wǎng)技術(shù)講解下解決辦法。

漏洞簡介:dedecms前臺任意文件刪除(需要會員中心),發(fā)表文章處,對于編輯文章的時候圖片參數(shù)處理不當(dāng),導(dǎo)致了任意文件刪除。

漏洞文件:/member/inc/archives_check_edit.php

漏洞描述:注冊會員用戶可利用此漏洞任意刪除網(wǎng)站文件。
 

修復(fù)方法:

 

打開/member/inc/archives_check_edit.php

 

找到大概第92行的代碼:

 

$litpic =$oldlitpic;

 

修改為:

 

$litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

切記,請大家修改之前,做好備份工作。

版權(quán)聲明: 本站資源均來自互聯(lián)網(wǎng)或會員發(fā)布,如果侵犯了您的權(quán)益請與我們聯(lián)系,我們將在24小時內(nèi)刪除!謝謝!

轉(zhuǎn)載請注明: 阿里云提示織夢DedeCMS v5.7 注冊用戶任意文件刪除漏洞

標(biāo)簽:  
相關(guān)文章
模板推薦