最新历史版本 :hdwiki任意用户密码修改漏洞 返回词条

HDWiki重置密码存在一处逻辑漏洞，导致攻击者可以修改任意用户密码。

修复方案：

逻辑问题，考虑一下检测码为空，并且数据库内没有该用户重置记录的情况。

临时解决方案：

}elseif(isset($this->post['verifystring'])){

$uid=$this->post['uid']; 想知道更多内容: 

$encryptstring=$this->post['verifystring'];

$idstring=$_ENV['user']->get_idstring_by_uid($uid,$this->time);

/* 判断一下空的情况 */

if(empty($encryptstring) || empty($idstring)){

$this->message($error,'BACK',0);

}