CMSTOP媒体云&政务版一处越权

### 简要描述： RT ### 详细说明： 厂商官网：http://**.**.**.**/ CMSTOP产品覆盖面较广 ``` CmsTop 媒体版 面向媒体提供“PC站＋手机站＋手机端＋平板端”多终端一体化新媒体技术解决方案，助力媒体融合转型。 媒体云 CmsTop 媒体云 作为媒体云时代的开创者，思拓合众颠覆了传统的软件采购和项目外包模式，与传媒集团建立战略合作伙伴关系，以互联网思维和云计算技术为基础整合集团、区域和行业内的媒体及政务新媒体资源，共同建设和运营媒体云。 政务版 CmsTop 政务版 面向党政部门提供多终端一体化的网站群私有云技术解决方案，助力党政部门打造“两微一端”政务新媒体。 ``` 在线演示站点： ``` http://**.**.**.**/ ``` 越权出在角色删除地方 1、登录用户 2、设置 3、打开角色 这里选择移除角色 burp拦截，修改roleid为任意存在roleid即可删除他人角色 [<img src="https://images.seebug.org/upload/201510/141502362b6a690912e4377cff592e935682bdd1.png" alt="1014-2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201510/141502362b6a690912e4377cff592e935682bdd1.png) 这里我测试的时候注册了两个用户账户A和账户B，分别记下对应它们的roleid，然后退出账户A，然后在另一个账户（账户B）中移除角色【修改roleid为账户A的roleid】，返回 ``` {"state":true} ``` 移除成功 再一次登陆账户A发现我的角色已经没有了。截图证明见漏洞证明 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201510/14150218a2304ec1972332ce722d8034af1ec343.png" alt="1014-1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201510/14150218a2304ec1972332ce722d8034af1ec343.png) 我想要删除账户A中roleid为7378的角色test23 [<img src="https://images.seebug.org/upload/201510/141510041aedfa103aac50444ff05a9a7bc6c7a0.png" alt="1014-4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201510/141510041aedfa103aac50444ff05a9a7bc6c7a0.png) 这里我们把包drop掉，在账户B中做删除7378的操作 [<img src="https://images.seebug.org/upload/201510/141509475a5e3eeb4fa12c37b5d4bf6d2357b51b.png" alt="1014-3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201510/141509475a5e3eeb4fa12c37b5d4bf6d2357b51b.png) [<img src="https://images.seebug.org/upload/201510/14151315df8f89e37607b8ae82ed3bc95b9b644e.png" alt="1014-6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201510/14151315df8f89e37607b8ae82ed3bc95b9b644e.png) 我们退出账户A，登陆账户B [<img src="https://images.seebug.org/upload/201510/14151928817574f2bd7a82bcc50ee05a1d016e07.png" alt="1014-10.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201510/14151928817574f2bd7a82bcc50ee05a1d016e07.png) 在账户B中随意拦截一个删除角色的数据包repeater即可 [<img src="https://images.seebug.org/upload/201510/14151243655de2e46e165ff9d67d053832080202.png" alt="1014-5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201510/14151243655de2e46e165ff9d67d053832080202.png) [<img src="https://images.seebug.org/upload/201510/14151452dfcd50a91093846f01b92bb81a957524.png" alt="1014-7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201510/14151452dfcd50a91093846f01b92bb81a957524.png) [<img src="https://images.seebug.org/upload/201510/1415145712840af512ccd37165dc3629c9397e6c.png" alt="1014-8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201510/1415145712840af512ccd37165dc3629c9397e6c.png) 再次登陆账户A 看看角色test23还在不在 [<img src="https://images.seebug.org/upload/201510/141516210c8c44203bbffaebedea83f401b5589e.png" alt="1014-9.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201510/141516210c8c44203bbffaebedea83f401b5589e.png) 测试到此足以证明