首页 » 开源CMS » 织梦DedeCms » 正文

DedeCMS v5.7 注册用户任意文件删除漏洞archives_check_edit.php漏洞修复

DedeCMS v5.7 版本中的/member/inc/archives_check_edit.php文件存在注册用户任意文件删除的漏洞,注册会员用户可利用此漏洞任意删除网站文件。

修复方法,编辑/member/inc/archives_check_edit.php文件,查找下面的代码:

$litpic =$oldlitpic;

替换成以下代码:

$litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

保存即可。

发表评论