阿里云服務器提示織夢DedeCMS v5.7 注冊用戶任意文件刪除漏洞，今天武林網技術講解下解決辦法。

漏洞簡介：dedecms前臺任意文件刪除(需要會員中心)，發表文章處，對于編輯文章的時候圖片參數處理不當，導致了任意文件刪除。

漏洞文件：/member/inc/archives_check_edit.php

漏洞描述：注冊會員用戶可利用此漏洞任意刪除網站文件。
 

修復方法：

打開/member/inc/archives_check_edit.php

找到大概第92行的代碼：

$litpic =$oldlitpic;

修改為：

$litpic =$oldlitpic; if (strpos( $litpic, '..') !== false || strpos( $litpic, $cfg_user_dir."/{$userid}/" ) === false) exit('not allowed path!');

切記，請大家修改之前，做好備份工作。