请选择 进入手机版 | 继续访问电脑版

巅峰霸主

 找回密码
 立即注册

QQ登录

只需一步,快速开始

DedeCMS v5.7 注册用户任意文件删除漏洞,阿里云检测

  [复制链接] [添加相关主题]
godkings 发表于 2020-1-9 05:24:46 | 显示全部楼层 |阅读模式

游客只能显示部分内容,请登录后查看帖子完整内容!!!注册完全免费。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
阿里云服务器提示织梦DedeCMS v5.7 注册用户任意文件删除漏洞,今天秀站网技术讲解下解决办法。

漏洞简介:dedecms前台任意文件删除(需要会员中心),发表文章处,对于编辑文章的时候图片参数处理不当,导致了任意文件删除。

漏洞文件:/member/inc/archives_check_edit.php

漏洞描述:注册会员用户可利用此漏洞任意删除网站文件。


修复方法:
打开/member/inc/archives_check_edit.php
找到大概第92行的代码:

$litpic =$oldlitpic;

修改为:

  1. $litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');
复制代码


切记,请大家修改之前,做好备份工作。


上一篇:织梦dedecms漏洞修复大全(5.7以上版本)修复方法
下一篇:dedecms调用当前栏目名称和栏目链接的方法

相关帖子

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|巅峰霸主 ( 京ICP备12023415号-2 )

声明:本站的任何信息和内容仅代表作者的立场和观点,与巅峰霸主网无关。

禁止在巅峰霸主网发布任何与《中华人民共和国法律》相抵触的言论!

GMT+8, 2020-8-7 11:39 , Processed in 0.096649 second(s), 25 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表