代理加盟 2020全新代理计划 赚钱+省钱双管齐下,独立平台,丰厚利润!

您现在的位置: 麦站网 > 织梦大学 > 织梦安全 >

DedeCMS v5.7 注册用户任意文件删除漏洞 member/inc/archives_check_edit.php

来源:本站原创 发布时间:2019-09-09 09:39:02热度:我要评论(0

免费下载,无需注册无需充值

dedecms前台任意文件删除(需要会员中心),发表文章处,对于编辑文章的时候图片参数处理不当,导致了任意文件删除。

修复方法:

打开 /member/inc/archives_check_edit.php

找到大概第92行的代码:

$litpic =$oldlitpic;

修改为:

$litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

 

 

 

转载请注明来源网址:https://www.xiuzhanwang.com/dedecms_aq/1756.html

    发表评论

    评论列表(条)