阿里云的云安全中心提醒存在Web-CMS漏洞。看了下原来是微擎1.5.4任意用户删除漏洞,涉及文件:web/source/founder/display.ctrl.php。
修复方法:
在display.ctrl.php文件中找到:
$founders = explode(',', $_W['config']['setting']['founder']);
在此代码下面增加:
$identity = uni_permission($_W['uid']);
if ($identity != ACCOUNT_MANAGE_NAME_FOUNDER && $identity != ACCOUNT_MANAGE_NAME_VICE_FOUNDER) {
itoast('非法访问!', referer(), 'error');
}
保存后,提交检测验证,漏洞失效。