NEWS

核心源码 您所在的位置:主页 > 核心源码 > 微擎程序 >
微擎1.5.4任意用户删除漏洞

类别:微擎程序 发布时间:2018-10-20 13:27 浏览:

描述:代码权限控制存在漏洞导致攻击者可任意删除用户。
 
文件:/web/source/founder/display.ctrl.php
 
漏洞修复方法:
 
找到改行代码: $founders = explode(',', $_W['config']['setting']['founder']);
 
在改行代码后面增加一段代码:
 
$identity = uni_permission($_W['uid']);if ($identity != ACCOUNT_MANAGE_NAME_FOUNDER && $identity != ACCOUNT_MANAGE_NAME_VICE_FOUNDER) {
    itoast('???????', referer(), 'error');
}

Copyright © 飞鱼科技 版权所有 技术支持:情歌 备案号:苏ICP备14036094号