微擎1.5.4任意用户删除漏洞涉及文件web/source/founder/display.ctrl.php

阿里云代金券领取

阿里云盾提示微擎存在漏洞导致攻击者可任意删除用户。

目标文件:

/web/source/founder/display.ctrl.php

漏洞修复方法:
找到大约14行代码:内容如下

$founders = explode(',', $_W['config']['setting']['founder']);

在以上代码下面增加如下代码:

$identity = uni_permission($_W['uid']);
if ($identity != ACCOUNT_MANAGE_NAME_FOUNDER && $identity != ACCOUNT_MANAGE_NAME_VICE_FOUNDER) {
	itoast('非法访问!', referer(), 'error');
}

最后效果:

 

微擎1.5.4任意用户删除漏洞涉及文件web/source/founder/display.ctrl.php

阿里云验证即可通过。

 

注意:以下为小编汇总的优惠活动,更多问题请联系:点击这里给我发消息 ①真便宜:云服务器89元1年,229元3年(优惠大放送)
②代金券:阿里云1888元代金券红包免费领取
③学生机:阿里云学生优惠机推荐

阿里云高性能云服务器优惠
新手建站网
  • 本文由 发表于 2020年11月20日21:49:09
  • 除非特殊声明,本站文章均为原创,转载请务必保留本文链接
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: