微擎1.5.4任意用户删除漏洞涉及文件web/source/founder/display.ctrl.php

作者:admin    日期:2020-07-15 20:25    来源:未知    浏览:

阿里云盾提示,微擎1.5.4任意用户删除漏洞,代码权限控制存在漏洞导致攻击者可任意删除用户。

涉及文件web/source/founder/display.ctrl.php


修复方案

查找到以下代码:

$founders = explode(',', $_W['config']['setting']['founder']);

在以上代码下面 增加如下代码:

$identity = uni_permission($_W['uid']);
if ($identity != ACCOUNT_MANAGE_NAME_FOUNDER && $identity != ACCOUNT_MANAGE_NAME_VICE_FOUNDER) {
	itoast('非法访问!', referer(), 'error');
}

保存后,提交检测验证。

热点推荐

技术学院

爱牛网络提供网站建设技术知识,seo优化知识,服务器技术知识

建站学院

SEO教程

服务器知识

微擎1.5.4任意用户删除漏洞涉及文件web/source/founder/display.ctrl.php

日期:2020-07-15 20:25  admin   浏览:61次

阿里云盾提示,微擎1.5.4任意用户删除漏洞,代码权限控制存在漏洞导致攻击者可任意删除用户。

涉及文件web/source/founder/display.ctrl.php


修复方案

查找到以下代码:

$founders = explode(',', $_W['config']['setting']['founder']);

在以上代码下面 增加如下代码:

$identity = uni_permission($_W['uid']);
if ($identity != ACCOUNT_MANAGE_NAME_FOUNDER && $identity != ACCOUNT_MANAGE_NAME_VICE_FOUNDER) {
	itoast('非法访问!', referer(), 'error');
}

保存后,提交检测验证。

网站模板