欢迎光临
我们一直在努力

阿里云服务器提示:织梦DedeCMS v5.7 注册用户任意文件删除漏洞

使用dedecms建站的朋友,如果恰好又是阿里云服务器,估计可以收到阿里云服务器提示织梦DedeCMS v5.7 注册用户任意文件删除漏洞,今天优站网分享下解决办法。

漏洞简介:dedecms前台任意文件删除(需要会员中心),发表文章处,对于编辑文章的时候图片参数处理不当,导致了任意文件删除。

漏洞文件:/member/inc/archives_check_edit.php

漏洞描述:注册会员用户可利用此漏洞任意删除网站文件。

解决方:
修改文件:/member/inc/archives_check_edit.php
找到大概第92行的代码:
$litpic =$oldlitpic;
修改为:

$litpic =$oldlitpic; if (strpos( $litpic, ‘..’) !== false || strpos( $litpic, $cfg_user_dir.”/{$userid}/” ) === false) exit(‘not allowed path!’);

备注:请大家修改之前,做好备份工作,以免修改错误。

赞(0) 打赏
未经允许不得转载:优站网 » 阿里云服务器提示:织梦DedeCMS v5.7 注册用户任意文件删除漏洞
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

分享互联网的精彩,一起进步

联系我们联系我们

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏