微擎1.5.4任意用户删除漏洞修复

发表于 2020-08-04   |   分类于 技术

微擎1.5.4任意用户删除漏洞修复

阿里云的云安全中心提醒存在Web-CMS漏洞。看了下原来是微擎1.5.4任意用户删除漏洞,涉及文件:web/source/founder/display.ctrl.php

修复方法:

在display.ctrl.php文件中找到:

$founders = explode(',', $_W['config']['setting']['founder']);

在此代码下面增加:

$identity = uni_permission($_W['uid']);
if ($identity != ACCOUNT_MANAGE_NAME_FOUNDER && $identity != ACCOUNT_MANAGE_NAME_VICE_FOUNDER) {
    itoast('非法访问!', referer(), 'error');
}

保存后,提交检测验证,漏洞失效。

许大也

许大也

奔四不油腻,有过理想,喜欢一些东西但不痴迷,从事过网页设计、搜索引擎优化、web前端,目前专注于互联网产品运营。

在路上,最青春!

发表新评论

©2020 visc.cn All Rights Reserved
Powered by Typecho & Theme Quark
苏ICP备20028920号-1