投稿赚钱
  1. 星速云首页
  2. 织梦建站

织梦注册用户任意文件删除漏洞archives_check_edit.php

星速云小编 织梦建站 阅读 2

漏洞名称:织梦DedeCMS v5.7 注册用户任意文件删除漏洞

危险等级:★★★★★(高危)

漏洞文件:/member/inc/archives_check_edit.php

披露时间:2017-03-20

漏洞描述:注册会员用户可利用此漏洞任意删除网站文件。

修复方法:

打开/member/inc/archives_check_edit.php

找到大概第92行的代码:

$litpic =$oldlitpic;

修改为:

$litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

注明:本文为星速云原创版权所有,禁止转载,一经发现将追究版权责任!

(0)
星速云小编星速云小编
0 0 打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年8月9日 上午9:06
下一篇 2022年8月9日 上午9:06

相关推荐

发表评论

登录后才能评论
问答社区 QQ客服
微信客服
微信客服
分享本页
返回顶部
扫一扫加客服微信