阿里云服務(wù)器提示織夢(mèng)DedeCMS v5.7 注冊(cè)用戶任意文件刪除漏洞，今天秀站網(wǎng)技術(shù)講解下解決辦法。

漏洞簡(jiǎn)介：dedecms前臺(tái)任意文件刪除(需要會(huì)員中心)，發(fā)表文章處，對(duì)于編輯文章的時(shí)候圖片參數(shù)處理不當(dāng)，導(dǎo)致了任意文件刪除。

漏洞文件：/member/inc/archives_check_edit.php

漏洞描述：注冊(cè)會(huì)員用戶可利用此漏洞任意刪除網(wǎng)站文件。
 

修復(fù)方法：

打開/member/inc/archives_check_edit.php

找到大概第92行的代碼：

$litpic =$oldlitpic;

修改為：

$litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

切記，請(qǐng)大家修改之前，做好備份工作。