最近发现一个BUG.短消息模块可以未经许可阅读任何人的短消息
阅读短消息函数根本不判断权限。只需要知道消息ID即可。。可以直接写个循环函数,把PHPCMS全部短消息抓下来哦,亲。。。
登录一下,直接访问 http://www.phpcms.cn/index.php?m=message&a=read&messageid=26 。。。哟西!messageid随便改。
修复方案:官方最新补丁已经修复,请大家及时补丁
查看更多关于PHPCMS V9任意短消息阅读BUG分析与解决方法_phpcms的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did18240