微擎1.5.4任意用户删除漏洞 web/source/founder/display.ctrl.php

2019-03-05 小惟

模板坊 - APP应用开发|网站建设|平面设计

微擎1.5.4任意用户删除漏洞display.ctrl.php,代码权限控制存在漏洞导致攻击者可任意删除用户。

文件所在位置:web/source/founder/display.ctrl.php


修复方法:

查找到以下代码:

$founders = explode(',', $_W['config']['setting']['founder']);



在以上代码下面 增加如下代码:


$identity = uni_permission($_W['uid']);if ($identity != ACCOUNT_MANAGE_NAME_FOUNDER && $identity != ACCOUNT_MANAGE_NAME_VICE_FOUNDER) {
itoast('???????', referer(), 'error');
}


保存后,提交检测验证。


模板坊版权所有 京ICP备16066985号-2 京公网安备11010602022036号

100041

QQ:504895209

— 努力创造优质作品,奉献更多精品佳作 —

模板坊 - APP应用开发|网站建设|平面设计