Benutzergruppen 101-103
|
|
Rolly8-HL |
Geschrieben am 25. August 2017 21:59:48
|
|
Habe festgestellt das in dem Bereich eine Sicherheitslücke existiert. Beispiel: Wenn die letze angelegte Gruppe die ID 100 hat passiert folgendes. Lege jetzt eine neue Gruppe an Bond007 dies soll nur für Agenten sein, Inhalt Geheim nicht für alle. Diese würde sich ja Automatisch auf die ID 101 legen. Rufe diese jetzt auf und ordne der einen User zu. Erstelle ein Panel Bond mit Inhalten die Geheim sind und nicht für alle zugänglich sein sollen, mit der Gruppen ID 101 (Bond007). Jetzt schaue ich mir die Sache an was ich da gemacht habe. 1. Das Panel ist für alle Mitglieder Sichtbar/erreichbar. 2. Das Mitglied ist in der Gruppe Mitglied nicht in Bond007 3. Das Panel zeigt Mitglied an sollte aber Bond007 sein. Sollte es noch keinem aufgefallen sein? dann bitte vormerken und abstellen. Danke für Euer Verständnis. Gruß Rolly8-HL
Was für Andere Wichtig ist muss für mich nicht genauso Wichtig sein! Bin Dickkopf Unbelehrbar mache aus Protest nicht das was andere für Richtig halten! Das gibt einem zu Denken oder? |
Information: |
PHP Version: Nicht ausgewählt • MySQL Version: Nicht ausgewählt • PHP-Fusion: Nicht ausgewählt |
|
|
Krelli |
Geschrieben am 26. August 2017 08:26:36
|
|
Bei meinem ersten Test lief alles problemlos, die Rechte waren trotz irreführender Anzeige der berechtigten Gruppe korrekt und der Zugriff war verweigert. Gerade eben aber nochmals getestet, und ich muss bestätigen: Es handelt sich tatsächlich um eine Sicherheitslücke. Angelegte Gruppe: "Gruppe 101" mit ID 101 Angelegte Seite mit Zugriff nur für diese Gruppe, Navigationslink ebenfalls nur Zugriff auf diese Seite. Ergebnis: "Tester", der nur Mitglied ist, sah den Link und konnte diese Seite sehen. Mit dem vorhin aktualisierten Download ist diese Lücke geschlossen. Wer das Updatepack bereits installiert hat, musst nur die Datei /administration/user_groups.php ersetzen Ich möchte darauf hinweisen, dass diese Lücke dem Original PHP-Fusion 7.02.07 entstammt. Wer dieses noch im Einsatz hat sollte daher umgehend tätig werden. Bearbeitet von Krelli am 26. August 2017 08:47:03 |
Information: |
PHP Version: 8.2.x • MySQL Version: Nicht ausgewählt • PHP-Fusion: IPv9-DE-MOD |
|
Springe ins Forum: |