support писал(а): ↑27 окт 2021, 12:16
При сохранении чего?
Пользователя
В конкретном случае на сервисе оказалась возможность добавлять пользователей. В "Группе доступа" консолью просто изменил значение на 0 и стал админом.
Попробовал убрать права добавления пользователей (создать), зашел под этой четкой и все равно без проблем смог изменить группу (так же через консоль).
А модифицированный POST-запрос (редактирование+сохранение пользователя) с текущими данными сессии и нужным значением fields[6] в теле - отработал вообще без веб-интерфейса из консоли под пользователем с нулевыми правами, и тоже стал админом.
P.S. Чей сайт на скриншоте - не в курсе, нашел по поиску в гугле, проверил теорию.