为什么可以未授权访问bug中的图片

2023-10-31 10:22:30
芜湖
  • 访问次数: 3
  • 注册日期: 2023-10-31
  • 最后登录: 2023-11-01
  • 我的积分: 77
  • 门派等级: 无门派


这是使用docker搭建的为什么 在没有登录情况下直接访问https://xxxx.com/file-read-1.png,直接可以看到这个图片



+10
沙发
2023-10-31 14:41:32
禅道 - 闫敏
  • 访问次数: 1645
  • 注册日期: 2019-03-11
  • 最后登录: 2024-04-29
  • 我的积分: 5578
  • 门派等级: 释迦 等级6

目前是这样设计的 ,发信通知,email 里面图片都是网址连接,如果有权限配置拦截,外链就无法访问查看信息了

可能造成部分人员无法看到数据不全

板凳
2023-11-01 08:04:31 回复#1
芜湖
  • 访问次数: 3
  • 注册日期: 2023-10-31
  • 最后登录: 2023-11-01
  • 我的积分: 77
  • 门派等级: 无门派
这个怎么才可以拦截呀,不想让人看到
#3
2023-11-01 08:51:04 回复#2
王林
  • 访问次数: 4487
  • 注册日期: 2017-06-20
  • 最后登录: 2024-05-29
  • 我的积分: 20576
  • 门派等级: 无门派

看下zentao/module/file/control.php文件

这里增加一行,然后看下可以吗?

 if(!($this->app->company->guest and $this->app->user->account == 'guest') and !$this->loadModel('user')->isLogon()) return print(js::locate($this->createLink('user', 'login')));

#4
2023-11-01 08:53:28
春哥
  • 访问次数: 10799
  • 注册日期: 2005-04-30
  • 最后登录: 2024-05-06
  • 我的积分: 530195
  • 门派等级: 幽灵 等级7 春哥
我们想想方案。我们同事到时候会和你联系。
#5
2023-11-01 10:27:57
禅道 - 闫敏
  • 访问次数: 1645
  • 注册日期: 2019-03-11
  • 最后登录: 2024-04-29
  • 我的积分: 5578
  • 门派等级: 释迦 等级6

目前咱们禅道的使用版本是多少? 可以在右下角看看 , 另外进入到 docker 容器中 ,执行 php -v

 或者 /opt/zbox/bin/php -v 看看 php 版本是多少 ? 

我们制作下调整文件

#6
2023-11-01 22:05:46 回复#5
芜湖
  • 访问次数: 3
  • 注册日期: 2023-10-31
  • 最后登录: 2023-11-01
  • 我的积分: 77
  • 门派等级: 无门派

php版本PHP 7.2.24
禅道版本开源版18.4.alpha1

#7
2023-11-02 08:54:33
王林
  • 访问次数: 4487
  • 注册日期: 2017-06-20
  • 最后登录: 2024-05-29
  • 我的积分: 20576
  • 门派等级: 无门派

可以看下上面的回复,这样修改一下,或者升级下最新版本

升级前请做好数据备份
   升级请参考文档:http://www.zentao.net/book/zentaopmshelp/41.html
   备份请参考文档:http://www.zentao.net/book/zentaopmshelp/42.html
另外,这样修改后配置发信功能后,在邮件里就看不到对应图片了,因为邮箱没有访问这个图片的权限。

#8
2023-11-02 17:36:43
禅道 - 闫敏
  • 访问次数: 1645
  • 注册日期: 2019-03-11
  • 最后登录: 2024-04-29
  • 我的积分: 5578
  • 门派等级: 释迦 等级6

或者安装这个补丁文件看看 https://www.zentao.net/extension-viewExt-6.html

安装过程提示文件冲突的话 覆盖即可

1/1 1