phpwind
管理员
管理员
  • 发帖数340
  • 铜币8597两
  • 威望6549点
  • 贡献3659点
  • 注册日期2006-03-23
  • 最后登录2017-02-13
  • 社区明星
阅读:39657回复:47

[漏洞补丁]phpwind 8系列版本重要安全补丁[20131231]

楼主#
更多 发布于:2013-12-31 18:04
安全级别:
影响版本:phpwind8.x
补丁说明:修复消息查看权限漏洞。

解决方案:
1、修改lib/message/message/message.ms.php 430行
原:
function getRelation($userId, $relationId) {
    $userId = intval($userId);
    $relationId = intval($relationId);
    if (1 > $userId || 1 > $relationId) {
        return array();
    }
    $relationsDao = $this->getRelationsDao();
    return $relationsDao->getRelation($userId, $relationId);
}
改:
function getRelation($userId, $relationId, $mid) {
    $userId = intval($userId);
    $mid = intval($mid);
    $relationId = intval($relationId);
    if (1 > $userId || 1 > $relationId) {
        return array();
    }
    $relationsDao = $this->getRelationsDao();
    $relationInfo = $relationsDao->getRelation($userId, $relationId);
 
    if ($mid && $relationInfo['mid'] != $mid) {
        return array();
    }
 
    return $relationInfo;
}
2、修改lib/message/message.class.php 334行
原:
function getRelation($userId, $relationId) {
    $service = $this->_serviceFactory("message");
    return $service->getRelation($userId, $relationId);
}
改:
function getRelation($userId, $relationId,$mid = 0) {
    $service = $this->_serviceFactory("message");
    return $service->getRelation($userId, $relationId, $mid);
}
3、修改getRelation函数,传入$mid参数
actions/message/ms_groupsms.php     55行
actions/message/ms_notice.php       53行
actions/message/ms_sms.php      83行
原:
if(!$messageServer->getRelation($winduid,$rid)){
    Showmsg("该条消息你无权查看");
}
改:
if(!$messageServer->getRelation($winduid,$rid, $mid)){
    Showmsg("该条消息你无权查看");
}
[元芳于2014-03-20 01:53编辑了帖子]
16条评分, 铜币 +40 威望 +21
  • trping
    威望 +5
    有理有据,令人信服~
    2014-04-17 23:41
  • trping
    铜币 +5
    有理有据,令人信服~
    2014-04-17 23:41
  • 石三伢子
    铜币 -5
    居然修改了权限!!!
    2014-03-13 08:49
  • eraledit
    铜币 +1
    http://www.eye4.cn/product/eye4shop.html
    2014-01-11 14:43
  • jvcxp
    铜币 +2
    PW8.7按这个修改以后,部分会员有时候收到消息点击后会查看不到消息,请检查~
    2014-01-07 22:43
  • ★星宿★♂
    铜币 +10
    精彩分享!!!
    2014-01-06 09:12
  • im286
    威望 +5
    8.7懒人包:[url=http://www.phpwind.net/index.php?c=attach&a=download&aid=451187]phpwind8.7_gbk.zip[/url] (17KB)
    2014-01-04 16:29
  • 楓
    威望 +10
    精彩分享!!!
    2014-01-03 11:32
  • 楓
    铜币 +10
    精彩分享!!!
    2014-01-03 11:32
  • 不刮胡子
    威望 +1
    提供懒人包吧!
    2014-01-02 21:44
喜欢121 评分16
PHPWind官方稽查管理人员!
海峰
荣誉会员
荣誉会员
  • 发帖数22352
  • 铜币27795两
  • 威望4513点
  • 贡献1821点
  • 注册日期2005-12-13
  • 最后登录2016-07-22
  • 忠实会员
  • 社区明星
  • 社区居民
沙发#
发布于:2013-12-31 22:21
居然没补丁包,这样修改太麻烦了。附上8.3版本懒人包。
[元芳于2014-01-02 16:07编辑了帖子]
附件名称/大小 下载次数 最后更新
phpwind8.3_gbk.zip (14KB)  185 2014-01-02 16:06
1条评分, 铜币 +1
  • xmyjm
    铜币 +1
    请问V8.7要如何修改?
    2014-01-03 08:24
回复(2) 喜欢(3)     评分(1)
xiaojieyu
新手上路
新手上路
  • 发帖数98
  • 铜币208两
  • 威望10点
  • 贡献0点
  • 注册日期2013-11-01
  • 最后登录2014-03-20
  • 社区居民
板凳#
发布于:2014-01-01 18:48
助人为快乐之本~
回复(0) 喜欢(1)     评分
飞天雪狐
四星会员
四星会员
  • 发帖数4079
  • 铜币4106两
  • 威望2591点
  • 贡献40点
  • 注册日期2004-11-17
  • 最后登录2017-03-25
  • 社区居民
  • 忠实会员
  • 最爱沙发
  • 社区明星
3楼#
发布于:2014-01-01 19:28
已经不用这个版本了
回复(0) 喜欢(1)     评分
yanhailou
PW moblie内测组
PW moblie内测组
  • 发帖数11383
  • 铜币2626两
  • 威望599点
  • 贡献0点
  • 注册日期2007-03-31
  • 最后登录2017-04-16
  • 社区居民
  • 最爱沙发
  • 社区明星
4楼#
发布于:2014-01-02 12:31
修改很麻烦啊,没懒人包吗
回复(0) 喜欢(1)     评分
xmyjm
四星会员
四星会员
  • 发帖数810
  • 铜币628两
  • 威望5点
  • 贡献0点
  • 注册日期2005-08-10
  • 最后登录2016-05-17
5楼#
发布于:2014-01-03 08:24
请问V8.7要如何修改?
回复(0) 喜欢(1)     评分
im286
四星会员
四星会员
  • 发帖数1982
  • 铜币1947两
  • 威望285点
  • 贡献0点
  • 注册日期2005-03-17
  • 最后登录2017-05-18
  • 社区居民
  • 社区明星
6楼#
发布于:2014-01-04 16:29
8.7懒人包:phpwind8.7_gbk.zip (17KB)
回复(0) 喜欢(0)     评分
ΡΗΡwind
初来乍到
初来乍到
  • 发帖数6
  • 铜币9两
  • 威望20点
  • 贡献0点
  • 注册日期2014-01-06
  • 最后登录2014-01-12
7楼#
发布于:2014-01-06 00:59
楼主,你写得实在是太好了!
回复(0) 喜欢(1)     评分
jvcxp
商业版用户
商业版用户
  • 发帖数666
  • 铜币1093两
  • 威望99点
  • 贡献5点
  • 注册日期2005-05-15
  • 最后登录2017-05-26
  • 社区居民
  • 忠实会员
8楼#
发布于:2014-01-07 22:43
PW8.7按这个修改以后,部分会员有时候收到消息点击后会查看不到消息,请检查~
1条评分, 铜币 +1
  • xmyjm
    铜币 +1
    我修改后也有这个问题
    2014-01-27 10:38
希望PW越来越好...
回复(1) 喜欢(0)     评分(1)
xmyjm
四星会员
四星会员
  • 发帖数810
  • 铜币628两
  • 威望5点
  • 贡献0点
  • 注册日期2005-08-10
  • 最后登录2016-05-17
9楼#
发布于:2014-01-27 10:38
我修改后也有这个问题
回复(0) 喜欢(0)     评分
石三伢子
四星会员
四星会员
  • 发帖数863
  • 铜币2721两
  • 威望104点
  • 贡献11点
  • 注册日期2012-04-02
  • 最后登录2017-03-16
  • 最爱沙发
  • 社区明星
  • 忠实会员
  • 社区居民
10楼#
发布于:2014-03-13 08:49
居然修改了权限!!!

回复(0) 喜欢(0)     评分
trping
四星会员
四星会员
  • 发帖数2510
  • 铜币3077两
  • 威望5222点
  • 贡献502点
  • 注册日期2011-01-20
  • 最后登录2016-04-23
  • 社区居民
  • 忠实会员
  • 最爱沙发
11楼#
发布于:2014-04-17 23:41
有理有据,令人信服~
最新企业名录http://www.n1db.com
1号数据库(www.n1db.com)专业从事国内各行业企业名录信息的收集、加工、整理、下载、更新服务,欢迎业务合作。

企业名录 www.qiye.ml
回复(0) 喜欢(0)     评分
kongdemei
禁止发言
禁止发言
  • 发帖数370
  • 铜币575两
  • 威望-130点
  • 贡献0点
  • 注册日期2013-11-08
  • 最后登录2014-07-04
  • 社区居民
  • 忠实会员
  • 最爱沙发
12楼#
发布于:2014-04-30 09:50
用户被禁言,该主题自动屏蔽!
回复(0) 喜欢(0)     评分
xutingzhang
初来乍到
初来乍到
  • 发帖数7
  • 铜币180两
  • 威望2点
  • 贡献0点
  • 注册日期2007-03-28
  • 最后登录2015-02-22
13楼#
发布于:2014-04-30 14:45
我这五年是的
回复(0) 喜欢(1)     评分
a5458025
禁止发言
禁止发言
  • 发帖数1309
  • 铜币-238两
  • 威望-25点
  • 贡献0点
  • 注册日期2011-04-27
  • 最后登录2016-11-01
  • 社区居民
  • 忠实会员
  • 最爱沙发
14楼#
发布于:2014-05-06 22:37
用户被禁言,该主题自动屏蔽!
回复(0) 喜欢(0)     评分
上一页
游客

返回顶部