某变量未初始化导致服务器设置register_global=On时会员可以随意修改自己的member信息。
% A; P# s* t5 @* M e# _
. D: X2 { z" E6 k$ ^, U: n& h% N由于需要register_global=On支持,影响有限。。漏洞涉及到会员可以修改自己的余额导致网站可能产生严重后果因此漏洞等级设为高。4 U% h$ ]9 w" r+ p1 t. A W
详细说明:修改用户密码的account_manage_password函数未对$updateinfo初始化,导致可以提交8 F; K$ V$ R6 |' x6 X, S. |
updateinfo[amount]这样的数组随意修改自己的余额、点数、会员组、VIP等一切存放在member表的信息
) y3 A$ {& H6 p1 F: Y( X文件: \phpcms\modules\member\index.php |% _- ]7 y' O X" J0 A7 w+ Q
0 c5 ~; s8 S' w, q' Q
约435行:
5 B5 }" R; y! m& ^6 A. y. k( ]$newpassword = password($_POST['info']['newpassword'], $this->memberinfo['encrypt']);
+ R5 t5 _- m' |: }. a, [' u1 G; x& w$updateinfo['password'] = $newpassword;6 G; N$ m* R: Z* K9 }4 q* |1 a; Z
$this->db->update($updateinfo, array('userid'=>$this->memberinfo['userid']));. G7 m% i3 k- w. O1 q+ }: l8 I
漏洞证明:文件: \phpcms\modules\member\index.php
9 T; W1 b+ t2 \# [* e+ `0 I7 Q4 w- q) M2 ]' z& {# \2 A
约435行:9 D6 O0 E+ b* c- S% A9 ^' ]8 |
$newpassword = password($_POST['info']['newpassword'], $this->memberinfo['encrypt']);% k* K+ G- ]; h9 B9 N* p( z1 |
$updateinfo['password'] = $newpassword;
* \9 y# _- E b0 |; y$this->db->update($updateinfo, array('userid'=>$this->memberinfo['userid']));
2 Z# P' V; n9 r! d0 c* C1 H2 M3 P( o# q5 x0 T9 U8 m4 u
修复方案:
1 ]- l7 L8 T1 c3 V9 ?
8 ^$ V+ B: x( V# E4 S$updateinfo = array();% B, R+ T- H# J" z l: V* T
0 @. w9 k$ s3 d( {- v6 \ |