阿里云提示微擎 代码权限控制存在漏洞导致攻击者可任意删除用户 解决办法

漏洞名:weiqin-founder_display.ctrl.php-vul
漏洞路径:/web/source/founder/display.ctrl.php
描述:代码权限控制存在漏洞导致攻击者可任意删除用户。

漏洞修复方法:

代码约在14行:

$founders = explode(',', $_W['config']['setting']['founder']);

在这行代码后面增加一段代码:

$identity = uni_permission($_W['uid']);
if ($identity != ACCOUNT_MANAGE_NAME_FOUNDER && $identity != ACCOUNT_MANAGE_NAME_VICE_FOUNDER) {
	itoast( '???????' , referer(), 'error');
}

你可能感兴趣的:(PHP,微擎)