DedeCMS v5.7 版本中的/member/inc/archives_check_edit.php文件存在注册用户任意文件删除的漏洞，注册会员用户可利用此漏洞任意删除网站文件。

修复方法，编辑/member/inc/archives_check_edit.php文件，查找下面的代码：

$litpic =$oldlitpic;

替换成以下代码：

$litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

保存即可。