阿里云服務(wù)器提示織夢DedeCMS v5.7 注冊用戶任意文件刪除漏洞，今天秀站網(wǎng)技術(shù)講解下解決辦法。

漏洞簡介：dedecms前臺任意文件刪除(需要會員中心)，發(fā)表文章處，對于編輯文章的時候圖片參數(shù)處理不當(dāng)，導(dǎo)致了任意文件刪除。

漏洞文件：/member/inc/archives_check_edit.php

漏洞描述：注冊會員用戶可利用此漏洞任意刪除網(wǎng)站文件。
 

修復(fù)方法：

打開/member/inc/archives_check_edit.php

找到大概第92行的代碼：

$litpic =$oldlitpic;

修改為：

$litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

切記，請大家修改之前，做好備份工作。