私信发送成功
检测到您已登录开源中国,是否 一键登录码云
Watch Star Fork

Discuz! / DiscuzXPHPGVP

已合并
!63 修复 一处附件免积分下载的漏洞

Discuz!:masterDiscuz!:master

Coxxs 创建于: 2017-03-09 20:35

漏洞分析:http://coxxs.me/428

Q:该修复方案是否会影响游客下载附件? 经过测试,未开启下载扣除积分的情况下,下载不会走扣除积分逻辑,不影响游客下载。 开启下载扣除积分的情况下,游客本来就无权限下载(见 source/module/forum/forum_attachment.php 191行)。

因此该修复方案不会影响游客下载附件。

1157835_comsenzdiscuzDiscuz! 合并于 2017-03-10 09:40

0 条评论, 1 人参与 1182890_coxxs

登录 后才可以发表评论

2017-03-09
1 个提交记录

1 文件发生了变化, 影响行数: +1 -1

@@ -26,7 +26,7 @@ if($_GET['action'] == 'paysucceed') {
exit;
 
} elseif($_GET['action'] == 'attachcredit') {
- if($_GET['formhash'] != FORMHASH) {
+ if($_GET['formhash'] != FORMHASH || !$_G['uid']) {
showmessage('undefined_action', NULL);
}
 
People Icon_close
Float_left Icon_close