【 紧急！】 SupeSite7.0漏洞及补丁程序！

此贴绝对原创，属bug第一发现人。并经官方确认和置顶，请放心修复漏洞。


前言：
听说通过找bug，解答别人的疑问，发表教程文章。这样就会有人加分给我。
因此，我特向官方反馈一个bug，此bug是自己在八月底测试程序时发现的，绝对原创，属bug第一发现人。并且在第一时间向官方反馈过。（原贴子：https://discuz.dismall.com/thread-1399948-1-1.html）现在公布bug及修复方法，希望有人给我加分啊！

警告：
我特别提醒还没有升级到SS7.5的朋友（说明：ss7.5还没有测试，等补丁完善后，我们会一步一步地测试），请注意ss7.0中这个很大的bug！！
因为任何人都可以修改您网站的内容！！更别说放一点加载木马之类的东东啦。。。。

bug危害状况：
任何人可以修改别人的文章，这意味着，您可以在别人网站上添加任意内容！反之，任何人都可以修改您网站的内容！！更别说放一点加载木马之类的东东啦。。。。

网站“入侵”方法：
1、注册一个会员，并登录后台
2、找到一篇您需要“入侵”的文章，记住该文章的ID号，ID号即为文章的itemid号
3、在浏览器地址栏中输入：http://网站的域名/admincp.php?action=spacenews&op=edit&itemid=文章的ID号
4、不用多说了吧，您就任意地改吧！任意的添加吧！

解决办法共2种：
1、关闭网站自动审核的功能，可防止被恶意修改后的文章在前台显示出来。但仍然无法阻止文章被他人恶意修改，且无法恢复。此方法不用修改任何源码。
2、修改admin/admin_spacenews.php的代码，此方法可以禁止别人的入侵。
首先找到：

1. if($thevalue) {
   

复制代码

在核心块中添加一段判断代码，修改后变成：

1. if($thevalue) {
   
2. if (($isuid) && ($_SGLOBAL['supe_uid'] != $thevalue['uid']) && ($_GET['op'] == 'edit')) {
   
3. showmessage('submit_invalid_error');
   
4. }
   

复制代码

为了方便，免费提供补丁文件下载：
SupeSite7.0_SC_GBK版：
SupeSite7.0_SC_UTF8版：

特别声明：
因为公开了bug及入侵的方法，请朋友相互提醒一下，并注意下自己的网站，免得被人恶意破坏！

希望管理员能给我加分，希望大家能够支持我，谢谢！
我的站点：http://www.dongshihui.com



官方的建议：
遇到此bug的站长，请于明后两天将程序升级到7.5版本。
下载地址：https://download.discuz.vip/SupeSite/7.5/
补丁包地址：https://discuz.dismall.com/thread-1460202-1-1.html

多谢你提供的补丁。

沙发都表态，看来是真的，先谢了！

果然可以。。。。。。
无语。。。。。。。。

呃。。。。。。。没做权限设置啊

对不起,您没有权限进行本管理操作
7.5

对不起,您没有权限进行本管理操作
7.5
理红轩 发表于 2009-11-10 14:42

   TMD那么严重的错误啊，靠，恐怖。你要先随便注册个ID，然后输入上面的地址就可以修改了。

非常牛X呀。赶紧着改一下

多谢你提供的补丁。
lidq.jingwu 发表于 2009-11-10 14:15

    无语了啊。老大，催催疯子老鼠加把劲。

正在用楼主提供的方法进行自己网站的入侵，看一下是否能成功。。。