ThinkSAAS 某处平衡权限

### 简要描述： ThinkSAAS 某处平衡权限 ### 详细说明： ThinkSAAS 某处平衡权限，可修改任意用户任意图片信息，图片名称，图片描述介绍等。 app/photo/action/edit.php文件： ``` case "do": if($_POST['token'] != $_SESSION['token']) { tsNotice('非法操作！'); } $photoid = intval($_POST['photoid']); $photoname = tsClean($_POST['photoname']); $photodesc = tsClean($_POST['photodesc']); $new['photo']->update('photo',array( 'photoid'=>$photoid, ),array( 'photoname'=>$photoname, 'photodesc'=>$photodesc, )); header('Location: '.tsUrl('photo','show',array('id'=>$photoid))); break; ``` 没有判断图片的用户属性，导致修改任意用户任意图片信息。 ### 漏洞证明： 先看看111111用户的图片信息： [<img src="https://images.seebug.org/upload/201401/061720255e538d5d321fb7bb5131ddd890febb58.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/061720255e538d5d321fb7bb5131ddd890febb58.png) 然后我们换一个用户222222构造如下请求，这里的photoid就是图片的id。 [<img src="https://images.seebug.org/upload/201401/06172055b0386585063a9403750aebe73d127809.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/06172055b0386585063a9403750aebe73d127809.png) 然后我们在来看看111111用户的图片信息： [<img src="https://images.seebug.org/upload/201401/061721277da509059d014b0679e4847d9083231e.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201401/061721277da509059d014b0679e4847d9083231e.png) 已成修改111111用户的图片信息。