设为首页收藏本站
切换到宽版

Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
Discuz!官方免费开源建站系统»论坛 Discuz! 交流与讨论 Discuz!-BUG与问题交流 DZX3.4,微信登录 1.1.6 BUG
返回列表 发新帖

DZX3.4,微信登录 1.1.6 BUG

[复制链接]
cordmm 发表于 2018-12-26 11:33:35 | 显示全部楼层 |阅读模式
只能描述了,没法截图了,昨晚处理过了

web端基本描述:
web端基本配置:PHP7.0.32、Mariadb10.2.16(MySQL5.5)、Memcached1.5.7[应该不会涉及到web端问题]
DZX3.4,开启了本身支持的缓存功能和Memcache加速,Cookies作用于*.abc.com
问题在主域名www.abc.com发现的,没有在其他二级域名下实验,其他二级域名也是绑定同站不同版块而已。

站点启用了官方插件:微信登录 1.1.6
-------------------------------------------------------------------------------------------------------------------------------------

问题描述:
管理员帐号uid=1,为论坛创始人帐户,并且是uc管理员帐户。之前绑定过微信号:001,并可以直接登陆,
昨晚用微信扫码直接登陆后,点击“退出”,打算重新登陆,
因为拿错了手机,错用了另一个号扫码微信号:002,然而管理员帐号uid=1的帐号就自动登陆了,
然后管理员帐号会员级别变成了“中级会员”(因为这帐号只发过500多帖),随后无法再登陆后台,但前台还有“管理中心”的选项。

好在还有个能登陆后台的管理员帐号uid=2,把它添加到$_config['admincp']['founder'] = ,总算登陆了后台。
用uid=2的管理员帐户查看uid=1的管理员帐户,用户组变成了“注册会员”,过期后用户组变为:“普通用户”,过期后管理组变为:“管理员”。
-------------------------------------------------------------------------------------------------------------------------------------

尝试解决过程:
用uid=2的管理员帐户修改uid=1的管理员帐户的“用户组”、“过期后用户组”为“管理员”,刷新缓存并在“内存优化”中清空内存,
手动操作数据库,直接清空了pre_common_member_wechatmp数据表,然后重复刷新缓存那一步。

清空浏览器cookies,并打开浏览器无痕模式,点击微信登陆,用微信号:002,扫码,然后uid=1的管理员帐户又自动登陆了。。。。。!
这次的变化是用户组变成了“新手上路”,退出再用微信号:002,扫码,用户组又变回“中级会员”
发现pre_common_member_wechatmp中又多了一个绑定微信的帐户,uid不是1了,是0

到这里我也没有更好的办法,只能删除pre_common_member_wechat和pre_common_member_wechatmp两个表。
在pre_common_plugin中删除了“微信登陆”,并删除了/source/plugin/wechat目录

然后再次用uid=2的管理员帐户重新赋于uid=1的帐户权限
-------------------------------------------------------------------------------------------------------------------------------------

看似解决了,但总感觉还有隐患,之前有很多绑定微信的用户。如果以后再使用微信登陆,说不定哪个账户一扫码管理员帐户就登陆了。。。
请问还要修改或清空别的什么表才能扯底抹除微信与论坛账户的联系?
回复

使用道具 举报

 楼主| cordmm 发表于 2018-12-26 11:39:49 | 显示全部楼层
同样,也发现过fid=0的情况
https://discuz.dismall.com/thread-3845109-1-1.html
回复

使用道具 举报

dej.sf 发表于 2018-12-26 12:12:42 | 显示全部楼层
https://gitee.com/ComsenzDiscuz/DiscuzX/issues/IPRUI

似乎是微信登陆插件的一个逻辑Bug,可以关注下后期有没有patch
回复

使用道具 举报

 楼主| cordmm 发表于 2018-12-27 16:46:20 | 显示全部楼层
dej.sf 发表于 2018-12-26 12:12
https://gitee.com/ComsenzDiscuz/DiscuzX/issues/IPRUI

似乎是微信登陆插件的一个逻辑Bug,可以关注下 ...

删掉这个插件,并删除pre_common_member_wechat和pre_common_member_wechatmp两个表不知能否阻止这个漏洞
回复

使用道具 举报

dej.sf 发表于 2018-12-28 10:29:53 | 显示全部楼层
cordmm 发表于 2018-12-27 16:46
删掉这个插件,并删除pre_common_member_wechat和pre_common_member_wechatmp两个表不知能否阻止这个漏洞

禁用插件就行了,只要访问不到接口就行。数据库不需要动
回复

使用道具 举报

 楼主| cordmm 发表于 2018-12-29 18:49:01 | 显示全部楼层
dej.sf 发表于 2018-12-28 10:29
禁用插件就行了,只要访问不到接口就行。数据库不需要动

谢谢
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-11-23 13:02 , Processed in 0.018376 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表