[Решено] Эксплойт: получение прав администратора

[Develop-Soft]

Любой пользователь системы (в т.ч. публично зарегистрированный) может получить права администратора. Для этого достаточно при сохранении подменить option "Группы доступа" на 0.

upd:
Либо добавить в конструкцию POST:

Код: Выделить всё

Content-Disposition: form-data; name="fields[6]"

0

[support]

А по подробней? При сохранении чего?

[Develop-Soft]

При сохранении чего?

Пользователя

В конкретном случае на сервисе оказалась возможность добавлять пользователей. В "Группе доступа" консолью просто изменил значение на 0 и стал админом.
Попробовал убрать права добавления пользователей (создать), зашел под этой четкой и все равно без проблем смог изменить группу (так же через консоль).
А модифицированный POST-запрос (редактирование+сохранение пользователя) с текущими данными сессии и нужным значением fields[6] в теле - отработал вообще без веб-интерфейса из консоли под пользователем с нулевыми правами, и тоже стал админом.

P.S. Чей сайт на скриншоте - не в курсе, нашел по поиску в гугле, проверил теорию.

[support]

Добавил дополнительную проверку. Файл из архива замените в \includes\classes\fieldstypes\
Сообщите результат.

[Develop-Soft]

Работает корректно, подмену запроса блокирует.
Настоятельно рекомендую всем обновить этот файл как критически важное исправление.