专业的织梦模板下载平台,更多精品模板,超低模板价格,网站建设如此简单!           QQ好友已满,→点此获取提取码←
当前位置:主页 > 建站教程 > 织梦CMS教程 >

织梦注册用户任意文件删除漏洞archives_check_edit.php

发布时间:2018-06-27  来源:六久阁  浏览:0  关键词:织梦漏洞 任意文件删除 删除漏洞 
阿里云最新活动2折低价服务器

漏洞名称:织梦DedeCMS v5.7 注册用户任意文件删除漏洞

  危险等级:★★★★★(高危)

  漏洞文件:/member/inc/archives_check_edit.php

  披露时间:2017-03-20

  漏洞描述:注册会员用户可利用此漏洞任意删除网站文件。

  

修复方法:

  打开/member/inc/archives_check_edit.php

  找到大概第92行的代码:

$litpic =$oldlitpic;

修改为:

$litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

  

红色标示的即是修改的部分:

  $litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

织梦二次开发QQ群

群号(383578617) DedeCMS织梦教程QQ群 如果您有任何织梦问题,请把问题发到群里,阁主将免费为您写解决教程!

已有 0 人评论


CopyRight © 2016-2017 六久阁模板下载网 版权所有  备案号:滇ICP备15006281号-4 
本站部份内容来源自网络,文字、素材、图片版权属于原作者,本站转载素材仅供大家欣赏和分享,切勿做为商业目的使用。
如果侵害了您的合法权益,请您及时与我们,我们会在第一时间删除相关内容!