阿里云提示微信魔方1.5.4任意文件删除漏洞解决办法

欧阳锋

阿里云提示微信魔方1.5.4任意文件删除漏洞解决办法  web/source/founder/display.ctrl.php
阿里云感知给的提示是代码权限控制存在漏洞导致攻击者可任意删除用户。

文件：/web/source/founder/display.ctrl.php

漏洞修复方法：

找到大约14行代码：

1. $founders = explode(',', $_W['config']['setting']['founder']);

复制代码

在这行代码后面增加一段代码：

1. $identity = uni_permission($_W['uid']);if ($identity != ACCOUNT_MANAGE_NAME_FOUNDER && $identity != ACCOUNT_MANAGE_NAME_VICE_FOUNDER) {
   
2.     itoast('???????', referer(), 'error');
   
3. }

复制代码

阿里云验证即可通过

也可以购买咱们的微信魔方授权，获得在线升级权限，我们的已经整合了一些常见的第三方微信营销代码 ： http://mofang.52jscn.com