ThinkSNS水平权限问题
简要描述: ThinkSNS某处存在水平权限问题,未对用户的操作进行权限认证,导致越权访问,删除任意用户信息 详细说明: 看过之前乌云白帽子发的关于水平权限的问题,貌似很多。重新看了下,好多都没修复。发个没有重复的。测试版本:4.18号官网下载的版本。 漏洞文件:/thinksns/apps/weba/Lib/Action/GroupAction.class.php 说明,index文件应该是group文件的完善更新版? 代码: / 执行编辑帖子 @return void / //水平权限缺陷02 public function doPostEdit // echo 2;die;...