JAVA、PHP、前端、APP、网站开发 - 开发技术学习

开发技术学习 » 编程开发 » 微擎1.5.4任意用户删除漏洞修复

微擎1.5.4任意用户删除漏洞修复

此文被围观3527日期: 2020-03-25 分类 : 编程开发  标签:  ··

微擎1.5.4任意用户删除漏洞涉及文件:

web/source/founder/display.ctrl.php

代码权限控制存在漏洞导致攻击者可任意删除用户。


修复方法:

$founders = explode(',', $_W['config']['setting']['founder']);

在以上代码下面 增加如下代码:

$identity = uni_permission($_W['uid']);
if ($identity != ACCOUNT_MANAGE_NAME_FOUNDER && $identity != ACCOUNT_MANAGE_NAME_VICE_FOUNDER) {
	itoast('非法访问!', referer(), 'error');
}


微擎1.5.4任意用户删除漏洞,微擎漏洞修复

阿里云漏洞修复

该日志由 开发技术学习 于2020年03月25日发表在 编程开发 分类下, 你可以发表评论,并在保留原文地址(https://www.kfju.com/article-id-1181.html)及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 微擎1.5.4任意用户删除漏洞修复 | 开发技术学习

上一页:阿里云提示微擎二次注入漏洞修复

下一页:vue引入tailwindcss,vue2 tailwindcss不生效解决方法

用发现美的眼睛去感受当下的幸福,发现生活的美 感悟生活中的美

您可能还会对这些文章感兴趣!

  1. PHPExcel导入wps编辑过的excel文件内存溢出问题修改(2592 +)
  2. php编译扩展配置(2507 +)
  3. 微网站的定义,微网站的解释,微网站的来源历史(4378 +)
  4. 查看crontab是否正确执行,crontab日志查看(4282 +)
  5. mac uwsgi配置(1855 +)
  6. php try catch应用,try{}catch{}实例分析(2672 +)
  7. shell脚本中使用expect(1839 +)
  8. c++入门事例一(计算成年人的健康状态)(1983 +)
  9. mysql 查询不以某个字符开头的数据(5189 +)
  10. js获取checkbox中所有选中值及input后面所跟的文本(2838 +)

最新专题

随机文章

本月排行

    Tags 标签云

    前端技术编程开发curl get postcurl postphpphp学习服务器mysqldedecms数据库php技术centos网站开发linuxdestoonPHP开发jsthinkphpwrite contextget_post_formatpsrewritebugMozillaJavaScripturlinsert intoon()prototypemysql group_concatjqueryjsp mysqlmyeclipseapachetemplatelinux+php+apachephp mysqlappendChildRequest Error step 1/2供应

    Links 友情链接

    简单看书超级字贴

    站点声明:部分内容源自互联网,为传播信息之用,如有侵权,请联系我们删除。

    © Copyright 2011-2024 www.kfju.com. All Rights Reserved.
    超级字帖 版权所有。蜀ICP备12031064号