首页 > 织梦学院 > 故障问题 >

织梦注册用户任意文件删除漏洞archives_check_edit.php

相关案例演示

漏洞名称：织梦DedeCMS v5.7 注册用户任意文件删除漏洞

　　危险等级：★★★★★(高危)

　　漏洞文件：/member/inc/archives_check_edit.php

　　披露时间：2017-03-20

　　漏洞描述：注册会员用户可利用此漏洞任意删除网站文件。

修复方法：

　　打开/member/inc/archives_check_edit.php

　　找到大概第92行的代码：

$litpic =$oldlitpic;

修改为：

$litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

黄色标示的即是修改的部分：

　　$litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

上一篇：织梦member/reg_new.php SQL注入漏洞修复

下一篇：织梦album_add.php文件SQL注入漏洞修复方法

免责声明：本站所有文章和图片均来自用户分享和网络收集，文章和图片版权归原作者及原出处所有，仅供学习与参考，请勿用于商业用途，如果损害了您的权利，请联系网站客服处理。

来源：网友投稿关注：时间：2018-08-09 08:46

☉首先声明，只要是我们的vip会员所有源码均可以免费下载，不做任何限制(了解更多)
☉本站的源码不会像其它下载站一样植入大量的广告。为了更好的用户体验以后坚持不打水印
☉本站只提供精品织梦源码，源码在于可用，不在多！！希望在这里找到你合适的。
☉本站提供的整站织梦程序，均带数据及演示地址。可以在任一源码详情页查看演示地址
☉本站所有资源（包括源码、模板、素材、特效等）仅供学习与参考，请勿用于商业用途。
☉如有其他问题，请加网站客服QQ进行交流。