แจ้งปัญหาช่องโหว่ GCMS 13 (แก้ไขแล้ว)
คำแนะนำคือ ควรอัปเกรด GCMS เป็นเวอร์ชั่นล่าสุดเสมอ สำหรับใครที่ไม่สะดวกกับการอัปเกรดทั้งหมด สามารถแก้ไขโค้ดได้ด้วยตัวเอง ตามนี้
จุดแรก หน้าแก้ไขข้อมูลสมาชิก ครับ บรรทัดที่มีปัญหาคือ
https://github.com/...pdateprofile.php#L85
if ($user) {ซึ่งเดิมไม่ได้ตรวจสอบความเป็นเจ้าของก่อน แก้ไขให้เป็นโค้ดด้านล่างได้เลย
if ($user && $user->id === $login['id']) {จุดที่สอง หน้าโพสต์เว็บบอร์ด
https://github.com/...odels/write.php#L165
// ใหม่ หรือ ผู้ดูแล หรือ เจ้าของ
if ($id == 0 || $moderator || ($index->member_id > 0 && $post['member_id'] === $index->member_id)) {
.......
}มีการเพิ่มคำสั่งสำหรับตรวจสอบความเป็นเจ้าของเพิ่มมา ถ้าไม่เข้าใจหน้านี้แนะนำให้สำเนาเอาทั้งหน้าไปแทนที่ของเดิมได้เลย (ทั้งไฟล์)
ต้องขอขอบคุณ คุณ สิทธิพงษ์ เส็งดอนไพร สำหรับการแจ้งปัญหาในครั้งนี้มาด้วย