灰儿 发表于 2022-8-31 17:58:14

Veno-File-Manager (VFM4)云盘让游客只可查看公共文件夹的方法

Veno-File-Manager (VFM V4.07)云盘让游客只可查看公共文件夹的方法

存在漏洞:
极简云盘 Veno-File-Manager (VFM) 3.75-V4.07 版本,如果游客开启了“查看文件”权限,即使关闭了“查看文件夹”功能,游客不仅能看到根目录下的所有文件,通过在URL地址栏中手工添加“?dir=uploads/子文件夹名称”参数也可以看到子文件夹里内容,包括用户私有文件夹的内容,造成游客的权限过大,起不到保护用户私有文件的目的。

解决思路:
修改未登录用户,即游客的防问权限,只能访问公共目录(public_dirs)里的内容,不权限也无权访问用户私有文件夹。

解决方法:
1.新增一个公共目录(public_dirs)数组配置
打开 根目录/vfm-admin/config-master.php 文件,新添一个 'public_dirs'数组配置参数,代码如下:

'public_dirs' =>
array (
    0 => 'public',
    1 => 'temp',
),
2.修改class.gatekeeper.php文件
打开 主目录/vfm-admin/class/class.gatekeeper.php文件,查找 getUserInfo($info) 函数,大概在257行左右,代码如下:
      /**
         * Get user info ('name', 'role', 'dir', 'email')
         *
         * @param int $info index of corresponding user info
         *
         * @return info requested
         */
      public function getUserInfo($info)
      {
            if ($this->isUserLoggedIn()
                && isset($_SESSION['vfm_user_name'])
                && strlen($_SESSION['vfm_user_name']) > 0
            ) {
                $username = $_SESSION['vfm_user_name'];
                $curruser = $this->getCurrentUser($username);

                if (isset($curruser[$info]) && strlen($curruser[$info]) > 0) {
                  return $curruser[$info];
                }
            }
            return null;
      }
在此类内对象方法getUserInfo($info) 函数中添加未登录用户(游客)可访问公共目录(public_dirs)内容,修改后代码如下:
      /**
         * Get user info ('name', 'role', 'dir', 'email')
         *
         * @param int $info index of corresponding user info
         *
         * @return info requested
         */
      public function getUserInfo($info)
      {
                        global $setUp;
            if ($this->isUserLoggedIn()
                && isset($_SESSION['vfm_user_name'])
                && strlen($_SESSION['vfm_user_name']) > 0
            ) {
                $username = $_SESSION['vfm_user_name'];
                $curruser = $this->getCurrentUser($username);

                if (isset($curruser[$info]) && strlen($curruser[$info]) > 0) {
                  return $curruser[$info];
                }
            }
                         //游客可访问公共目录(public_dirs)内容
                         else{
                              $public_dirs = $setUp->getConfig('public_dirs');
                              $public_dirs = '["' . join('","', array_values($public_dirs) ) . '"]';
                              return $public_dirs;                                          
                            }
            return null;
      }
注:
用此方法修改后,存在一个问题,游客只能查看和公共目录下的文件,不显示“分享”按钮。
解决方法如下:
http://www.admin365.cn/thread-46413-1-1.html   
Veno-File-Manager (VFM4)云盘游客文件分享按钮不显示解决办法




灰儿 发表于 2022-8-31 18:18:30

http://www.admin365.cn/thread-45934-1-1.htmlVeno-File-Manager (VFM3)云盘游客可查看所有文件漏洞解决方法
页: [1]
查看完整版本: Veno-File-Manager (VFM4)云盘让游客只可查看公共文件夹的方法