月明星稀稀
管理员
管理员
  • 发帖数3285
  • 铜币95899两
  • 威望1929点
  • 贡献99634点
  • 注册日期2014-09-23
  • 最后登录2016-11-09
阅读:8814回复:27

[漏洞补丁]phpwind 8.7添加好友可绕过申请的漏洞修复(20150630)更新

楼主#
更多 发布于:2015-06-30 11:03
经安全测试,发现phpwind 8.7存在添加好友可以绕过申请的漏洞,现将其修复。
受影响的文件: \upload\actions\message\ms_ajax.php


补丁包:
phpwind 8.7-pack-upload-20150630(utf8)


phpwind 8.7-pack-upload-20150630(gbk)

[月明星稀稀于2015-06-30 17:09编辑了帖子]
喜欢1 评分0

最新喜欢:

cnidycnidy
需要插件与模板就到http://market.aliyun.com/products/?tag=phpwind
cixinet
PW moblie内测组
PW moblie内测组
  • 发帖数3889
  • 铜币18850两
  • 威望2894点
  • 贡献535点
  • 注册日期2008-10-06
  • 最后登录2017-01-20
  • 社区居民
  • 忠实会员
  • 最爱沙发
  • 社区明星
沙发#
发布于:2015-06-30 11:42
已补
回复(0) 喜欢(0)     评分
贾玉华
PW 8.7内测组
PW 8.7内测组
  • 发帖数1774
  • 铜币12910两
  • 威望2348点
  • 贡献1点
  • 注册日期2011-02-15
  • 最后登录2017-01-19
  • 社区居民
  • 忠实会员
板凳#
发布于:2015-06-30 13:05
火速补上,谢谢!!!
回复(0) 喜欢(0)     评分
ldyzxm
一星会员
一星会员
  • 发帖数179
  • 铜币424两
  • 威望17点
  • 贡献0点
  • 注册日期2008-10-21
  • 最后登录2016-05-28
3楼#
发布于:2015-06-30 14:47
8.7.1还用补吗
回复(1) 喜欢(0)     评分
234009208
二星会员
二星会员
  • 发帖数109
  • 铜币241两
  • 威望80点
  • 贡献0点
  • 注册日期2015-04-11
  • 最后登录2015-10-02
  • 社区居民
  • 忠实会员
4楼#
发布于:2015-06-30 15:00
ldyzxm:8.7.1还用补吗回到原帖
同问
回复(0) 喜欢(0)     评分
月明星稀稀
管理员
管理员
  • 发帖数3285
  • 铜币95899两
  • 威望1929点
  • 贡献99634点
  • 注册日期2014-09-23
  • 最后登录2016-11-09
5楼#
发布于:2015-06-30 15:04
需要的
需要插件与模板就到http://market.aliyun.com/products/?tag=phpwind
回复(1) 喜欢(0)     评分
234009208
二星会员
二星会员
  • 发帖数109
  • 铜币241两
  • 威望80点
  • 贡献0点
  • 注册日期2015-04-11
  • 最后登录2015-10-02
  • 社区居民
  • 忠实会员
6楼#
发布于:2015-06-30 15:35
月明星稀稀:需要的回到原帖
为啥都是 GBK的
回复(1) 喜欢(0)     评分
独孤云逸
PW 8.7内测组
PW 8.7内测组
  • 发帖数373
  • 铜币501两
  • 威望5点
  • 贡献0点
  • 注册日期2006-11-06
  • 最后登录2017-01-11
7楼#
发布于:2015-06-30 16:46
火补上
回复(0) 喜欢(0)     评分
月明星稀稀
管理员
管理员
  • 发帖数3285
  • 铜币95899两
  • 威望1929点
  • 贡献99634点
  • 注册日期2014-09-23
  • 最后登录2016-11-09
8楼#
发布于:2015-06-30 17:09
234009208:为啥都是 GBK的回到原帖
好了,改了~~
需要插件与模板就到http://market.aliyun.com/products/?tag=phpwind
回复(1) 喜欢(0)     评分
ldyzxm
一星会员
一星会员
  • 发帖数179
  • 铜币424两
  • 威望17点
  • 贡献0点
  • 注册日期2008-10-21
  • 最后登录2016-05-28
9楼#
发布于:2015-06-30 17:31
月明星稀稀:好了,改了~~回到原帖
问下,最近有没有计划出完整的安装包,9.0的或者是8.7.1 的,现存的版本不是多多少少都有问题的吗
回复(0) 喜欢(0)     评分
月明星稀稀
管理员
管理员
  • 发帖数3285
  • 铜币95899两
  • 威望1929点
  • 贡献99634点
  • 注册日期2014-09-23
  • 最后登录2016-11-09
10楼#
发布于:2015-06-30 18:43
暂时还没有,还没稳定~
需要插件与模板就到http://market.aliyun.com/products/?tag=phpwind
回复(0) 喜欢(0)     评分
xiahaitao120
PW moblie内测组
PW moblie内测组
  • 发帖数4775
  • 铜币6084两
  • 威望419点
  • 贡献0点
  • 注册日期2010-05-26
  • 最后登录2017-01-17
  • 社区居民
  • 忠实会员
  • 最爱沙发
  • 社区明星
11楼#
发布于:2015-06-30 21:33
火速补上,谢谢!!
站长论坛       www.28sn.com

安 卓 窝(apk.28sn.com):最好、最全的安卓应用下载中心
回复(0) 喜欢(0)     评分
心砚
PW moblie内测组
PW moblie内测组
  • 发帖数1145
  • 铜币3022两
  • 威望503点
  • 贡献0点
  • 注册日期2005-06-28
  • 最后登录2017-01-01
  • 社区居民
12楼#
发布于:2015-06-30 23:03
已经补上了
安徽大学论坛www.ahubbs.com
回复(0) 喜欢(0)     评分
wybneu
PW 8.7内测组
PW 8.7内测组
  • 发帖数159
  • 铜币597两
  • 威望130点
  • 贡献0点
  • 注册日期2014-08-30
  • 最后登录2015-09-26
  • 社区居民
  • 忠实会员
13楼#
发布于:2015-07-01 15:16
找到196行
case 'request_friend' :
    $return = $friendObj->argeeAddedFriends($winduid, $fid);
在这两行之间加入
//同意添加好友前验证好友是否发送过请求
$res = $db->get_one("SELECT mid,typeid FROM `pw_ms_relations` WHERE rid=".intval($rids[0]));
if(!isset($res['mid']) || empty($res['mid']) || $res['typeid']!=$typeid){
    ajaxExport("非法操作请返回");
}
$res = $db->get_one("SELECT create_uid FROM `pw_ms_messages` WHERE mid=".intval($res['mid']));
if($res['create_uid'] != $fid[0]){
    ajaxExport("非法操作请返回");
}
代码变成这个样子
case 'request_friend' :
                //同意添加好友前验证好友是否发送过请求
                $res = $db->get_one("SELECT mid,typeid FROM `pw_ms_relations` WHERE rid=".intval($rids[0]));
                if(!isset($res['mid']) || empty($res['mid']) || $res['typeid']!=$typeid){
                    ajaxExport("非法操作请返回");
                }
                $res = $db->get_one("SELECT create_uid FROM `pw_ms_messages` WHERE mid=".intval($res['mid']));
                if($res['create_uid'] != $fid[0]){
                    ajaxExport("非法操作请返回");
                }
    $return = $friendObj->argeeAddedFriends($winduid, $fid);
回复(2) 喜欢(0)     评分
贾玉华
PW 8.7内测组
PW 8.7内测组
  • 发帖数1774
  • 铜币12910两
  • 威望2348点
  • 贡献1点
  • 注册日期2011-02-15
  • 最后登录2017-01-19
  • 社区居民
  • 忠实会员
14楼#
发布于:2015-07-01 15:26
wybneu:找到196行
case 'request_friend' :
    $return = $friendObj->argeeAddedFriends($winduid, $fid);在这两行之间加入
//同意添加好友前验证好友是...
回到原帖
有什么问题吗?
[贾玉华于2015-07-01 18:42编辑了帖子]
回复(0) 喜欢(0)     评分
上一页
游客

返回顶部