云盾提示微擎1.5.4任意文件删除漏洞解决办法

2018-08-29

云盾提示,微擎1.5.4任意用户删除漏洞,代码权限控制存在漏洞导致攻击者可任意删除用户。

涉及文件

web/source/founder/display.ctrl.php

修复方案

查找到以下代码:

$founders = explode(',', $_W['config']['setting']['founder']);

在以上代码下面 增加如下代码:

$identity = uni_permission($_W['uid']);
if ($identity != ACCOUNT_MANAGE_NAME_FOUNDER && $identity != ACCOUNT_MANAGE_NAME_VICE_FOUNDER) {
	itoast('非法访问!', referer(), 'error');
}

保存后,提交检测验证。

帮助中心

  • Linux局域网内文件传送

    人多不足以依赖,要生存只有靠自己。深窥自己的心,而后发觉一切的奇迹在你自己。凡事皆有终结,因此,耐心是赢得成功的一种手段。

  • 【已解答】高危:Nginx后端服务指定的Header隐藏状态

    隐藏Nginx后端服务指定Header的状态: 1、打开conf/nginx.conf配置文件; 2、在http下配置proxy_hide_header项; 增加或修改为 proxy_hide_header X-Powered-By; proxy_hide_header Server;

  • 【已解答】高危:Nginx的WEB访问日志记录状态

    开启Nginx的WEB访问日志记录: 1、打开conf/nginx.conf配置文件,含主配置文件中include项包含的子配置文件; 2、在http下配置access_log项 access_log logs/host.access.log main; 3、并在主配置文件,及主配置文件下的include文件中 删除off项或配置为适当值