PHP技术,网站开发,PHP,PHP学习,Python学习,PHP开发,人工智能,大数据服务

PHP » 编程开发 » 微擎1.5.4任意用户删除漏洞修复

微擎1.5.4任意用户删除漏洞修复

此文被围观609日期: 2020-03-25 分类 : 编程开发  标签:  ··

微擎1.5.4任意用户删除漏洞涉及文件:

web/source/founder/display.ctrl.php

代码权限控制存在漏洞导致攻击者可任意删除用户。


修复方法:

$founders = explode(',', $_W['config']['setting']['founder']);

在以上代码下面 增加如下代码:

$identity = uni_permission($_W['uid']);
if ($identity != ACCOUNT_MANAGE_NAME_FOUNDER && $identity != ACCOUNT_MANAGE_NAME_VICE_FOUNDER) {
	itoast('非法访问!', referer(), 'error');
}


微擎1.5.4任意用户删除漏洞,微擎漏洞修复

阿里云漏洞修复

© Copyright 2011-2019 adophper.com. All Rights Reserved.
读图网科技 版权所有。蜀ICP备12031064号