Metrics
0
Watch 667 Star 1.8K Fork 998

Discuz! / DiscuzXPHP

Merged
!63 修复 一处附件免积分下载的漏洞

Discuz!:masterDiscuz!:master

Coxxs Created on: 2017-03-09 20:35

漏洞分析:http://coxxs.me/428

Q:该修复方案是否会影响游客下载附件?
经过测试,未开启下载扣除积分的情况下,下载不会走扣除积分逻辑,不影响游客下载。
开启下载扣除积分的情况下,游客本来就无权限下载(见 source/module/forum/forum_attachment.php 191行)。

因此该修复方案不会影响游客下载附件。

0 comments, 1 participants 1182890_coxxs

Show action logs Hide action logs
Discuz! merged Pull Request 2017-03-10 09:40

Sign in and comment

2017-03-09

(1)
1 changed files ,commit stats: +1 -1
upload/source/module/forum/forum_misc.php
@@ -26,7 +26,7 @@ if($_GET['action'] == 'paysucceed') {
exit;
} elseif($_GET['action'] == 'attachcredit') {
if($_GET['formhash'] != FORMHASH) {
if($_GET['formhash'] != FORMHASH || !$_G['uid']) {
showmessage('undefined_action', NULL);
}

Help Search