女神猫女王

代理加盟 2019全新代理計劃 賺錢+省錢雙管齊下,獨立平臺,豐厚利潤!

您現在的位置: 秀站網 > 織夢大學 > 織夢安全 >

DedeCMS v5.7 注冊用戶任意文件刪除漏洞 member/inc/archives_check_edit.php

來源:未知 發布時間:2019-09-09熱度:我要評論
dedecms前臺任意文件刪除(需要會員中心),發表文章處,對于編輯文章的時候圖片參數處理不當,導致了任意文件刪除。member/inc/archives_check_edit.php修復辦法。 ...

織夢模板免費下載,無需注冊無需充值

dedecms前臺任意文件刪除(需要會員中心),發表文章處,對于編輯文章的時候圖片參數處理不當,導致了任意文件刪除。

修復方法:

打開 /member/inc/archives_check_edit.php

找到大概第92行的代碼:

$litpic =$oldlitpic;

修改為:

$litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

 

 

 

本文地址:http://www.qksux.club/dedecms_aq/1756.html

責任編輯:秀站網

    發表評論

    評論列表(條)

      女神猫女王 951741765356342434907135528418414601586588696338445957674512547101891853460317227926823523578528938 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();