私信发送成功
检测到您已登录开源中国,是否 一键登录码云
Watch Star Fork

Discuz! / DiscuzXPHPGVP

已合并
!63 修复 一处附件免积分下载的漏洞

Discuz!:masterDiscuz!:master

Coxxs 创建于: 2017-03-09 20:35

漏洞分析:http://coxxs.me/428

Q:该修复方案是否会影响游客下载附件? 经过测试,未开启下载扣除积分的情况下,下载不会走扣除积分逻辑,不影响游客下载。 开启下载扣除积分的情况下,游客本来就无权限下载(见 source/module/forum/forum_attachment.php 191行)。

因此该修复方案不会影响游客下载附件。

1157835_comsenzdiscuzDiscuz! 合并于 2017-03-10 09:40

0 条评论, 1 人参与 1182890_coxxs

登录 后才可以发表评论

2017-03-09
1 个提交记录

1 文件发生了变化, 影响行数: +1 -1

upload/source/module/forum/forum_misc.php
@@ -26,7 +26,7 @@ if($_GET['action'] == 'paysucceed') { @@ -26,7 +26,7 @@ if($_GET['action'] == 'paysucceed') {
26 exit; 26 exit;
27 27
28 } elseif($_GET['action'] == 'attachcredit') { 28 } elseif($_GET['action'] == 'attachcredit') {
29 - if($_GET['formhash'] != FORMHASH) { 29 + if($_GET['formhash'] != FORMHASH || !$_G['uid']) {
30 showmessage('undefined_action', NULL); 30 showmessage('undefined_action', NULL);
31 } 31 }
32 32
People Icon_close
Float_left Icon_close