Fix : Gäste können Posts andere Gäste löschen (ThWboard Support-Forum (Archiv))

Morpheus schrieb am 25.05.2002 um 22:53 Uhr

Wie gerade im IRC bekannt wurde, ist ein Sicherheitsloch in der Gästefunktion des Thwboard, welche erlaubt das Gäste die Posts anderer Gäste löschen können. Dies passiert aber nur, wenn in der Default gruppe die option "Can delete own posts" aktiviert wurde. Wer dieses Loch ausschalten möchte kann entweder diese Option ausschalten oder folgenden Fix integrieren :

Änderungen müssen in der postops.php vorgenommen werden...
zeile 45 muss diese Zeile :

if( ($g_user['userid'] == $post['userid'] && has_permission( P_DELPOST )) || has_permission( P_ODELPOST ))

durch diese

if( ($g_user['userid'] == $post['userid'] && has_permission( P_DELPOST )) && $g_user['userid'] != 0 || has_permission( P_ODELPOST ))

ersetzt werden um diesen Bug zu beheben.

ein großes Dankeschön geht an Jonas und Lukas, die diesen Bug gefunden und entfernt haben.

Piti schrieb am 25.05.2002 um 22:59 Uhr

In welchem file steht das ??

Luki schrieb am 25.05.2002 um 23:04 Uhr

Änderungen müssen in der postops.php(3) vorgenommen werden... [hinzugefügt von Morph]

Übrigens Bug tritt nur ab Version ThWB 2.7 auf...

Gruß
Lukas

Piti schrieb am 25.05.2002 um 23:24 Uhr

Thx habs gefixt.

Andy schrieb am 26.05.2002 um 00:55 Uhr

Außerdem trift er nicht auf die zu, die Jonas Hack installiert haben, um Gäste zu einer anderen Gruppe zu adden (Also nicht 0)