织梦DedeCMS v5.7 注册用户任意文件删除漏洞修复方案

1094 阅读 暂无评论 96 字

织梦DedeCMS v5.7 注册用户任意文件删除漏洞

漏洞

DedeCMS v5.7 注册用户任意文件删除漏洞

简介

DedeCMS V5.7 SP2正式版(2018-01-09) dedecms前台任意文件删除(需要会员中心),发表文章处,对于编辑文章的时候图片参数处理不当,导致了任意文件删除

路径

/member/inc/archives_check_edit.php

修复

打开 /member/inc/archives_check_edit.php 找到 大概在92行

$litpic =$oldlitpic;

在它下面加入

if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');
织梦漏洞 任意文件删除
上一篇:织梦DedeCMS上传漏洞修复方案 下一篇:织梦DedeCMS SQL注入漏洞修复方案
文章评论 (0)
Copyright © 2017-2022 广州铭诺网络科技有限公司 版权所有   粤ICP备2021116614号
QQ咨询
QQ号码
979779692
微信咨询
微信二维码
在线咨询
微信咨询 QQ咨询
客服头像

截屏,微信识别二维码

微信号:itx2021

(点击微信号复制,添加好友)

微信号已复制,请打开微信添加好友!