Welkom gast! Aanmelden Registreren


Waardering:
  • 0 stemmen - gemiddelde waardering is 0
  • 1
  • 2
  • 3
  • 4
  • 5
DeltaCMS 1.2 housekeeping fix.
#1
Ja, een exploit in DeltaCMS 1.2, gebeurt niet zo vaak he, maar toch.
Iedereen die toegang heeft tot de housekeeping kan zichzelf admin maken.


de fix:
Ga naar ROOTMAP (htdocs/www/inetpub/whatever) -> style -> stijl die je gebruikt -> housekeeping.php
Zoek op:

if(isset($_POST['giverank'])){
if(($_POST['giverank'] == '1' || $_POST['giverank'] == '2' || $_POST['giverank'] == '3' || $_POST['giverank'] == '4' || $_POST['giverank'] == '5' || $_POST['giverank'] == '6' || $_POST['giverank'] == '7' || $_POST['giverank'] == '8' || $_POST['giverank'] == '9' || $_POST['giverank'] == '10') && isset($_SESSION['updaterank'])){
mysql_query("UPDATE users SET rank = '".X($_POST['giverank'])."' WHERE username = '".X($_SESSION['updaterank'])."'");
$ranksucces = true;
} else {
$ranksucces = false;
}
if(isset($_SESSION['updaterank'])){ unset($_SESSION['updaterank']); }
}


Vervang door:

if(isset($_POST['giverank'])){
$minrank = 7; // vanaf welke rank mag je iemands rank aanpassen //
if(user(rank) => $minrank) {
if(($_POST['giverank'] == '1' || $_POST['giverank'] == '2' || $_POST['giverank'] == '3' || $_POST['giverank'] == '4' || $_POST['giverank'] == '5' || $_POST['giverank'] == '6' || $_POST['giverank'] == '7' || $_POST['giverank'] == '8' || $_POST['giverank'] == '9' || $_POST['giverank'] == '10') && isset($_SESSION['updaterank'])){
mysql_query("UPDATE users SET rank = '".X($_POST['giverank'])."' WHERE username = '".X($_SESSION['updaterank'])."'");
$ranksucces = true;
} else {
$ranksucces = false;
}

if(isset($_SESSION['updaterank'])){ unset($_SESSION['updaterank']); }
}
 
#2

Dankje, ik weet er een uit FrostCMS, die zal ik ook even posten Bigsmile.

Trukker1998. Old but not forgotten.
 
#3
Je kunt voortaan beter de code tags gebruiken.
Verder mooie tut.
 
#4
Zou je niet eens eventjes de credits posten, slimmerik:

99% naar mij voor het maken en op een ander forum zetten
1% naar junis voor het kopieëren

PS: dat ene forum is nu dood maar...
Every concept can be made simple by making up a word for it.
 
  




Leden die dit momenteel bekijken: 1 gast(en)