PHPCMS v9 黄页模块权限绕过漏洞1

实例URL : http://v9.demo.phpcms.cn/index.php?m=yp&c=business&a=check_pay&id=4
如图,直接修改URL中的id,即可浏览黄页模块任意订单。

漏洞代码:

如上图,注册商家可以浏览其他商家的所有订单。

发表评论