移动互联网+与新技术研究汇总

程志鹏@6A商学院 专注SEM与“互联网+”研究与学习

阿里云提示微擎1.5-1.7版 任意文件删除漏洞 display.ctrl.php

解决方法了,阿里云验证通过
漏洞二:

标题:微擎1.5.4任意用户删除漏洞

描述:代码权限控制存在漏洞导致攻击者可任意删除用户。

文件:/web/source/founder/display.ctrl.php

漏洞修复方法:

找到改行代码:

  1. $founders = explode(',', $_W['config']['setting']['founder']);

复制代码


在改行代码后面增加一段代码:

  1. $identity = uni_permission($_W['uid']);if ($identity != ACCOUNT_MANAGE_NAME_FOUNDER && $identity != ACCOUNT_MANAGE_NAME_VICE_FOUNDER) {

  2.     itoast('???????', referer(), 'error');

  3. }

复制代码


发表评论:

网站分类
搜索
最新留言
文章归档
友情链接
  • 订阅本站的 RSS 2.0 新闻聚合

Powered By Z-BlogPHP 1.7.2

Copyright ©2007-2023 程志鹏@6A商学院 All Rights Reserved
冀ICP备10208152号-4 |