转载自摸鱼小屋。

前言

一开始以为是我魔改的原因，但是经过我的一顿排查后发现，PIX主题的置顶、编辑、删除接口函数完全没有权限校验，甚至特意写了允许游客调用的代码，跟点赞的权限一样，游客端仅仅是隐藏前端入口！

理论上只需修改参数postid，就能指定删除wp_posts数据表中的任何内容！

修复步骤

代码位置：pix/inc/pix-moment.php 查找删除以下代码。

游客删除

add_action('wp_ajax_nopriv_trash_moment', 'trash_moment');

游客编辑

add_action('wp_ajax_nopriv_moment_edit_modal', 'moment_edit_modal');

游客置顶

add_action('wp_ajax_nopriv_stick_moment', 'stick_moment');

游客发布

add_action('wp_ajax_nopriv_push_topic', 'push_topic');

你没看错，以上就是专门给游客权限的代码，谁知道作者怎么想的。

进行以上步骤后就只有登录用户能调用了，如果你的PIX开启了用户注册，自己找ai修改这些函数。moment_edit_modal()、get_image_moment_f($pid)、stick_moment()

原代码里没有任何权限校验！

总结

多谢网友 “1张照片” 第一个发现了这个问题！全都是巧合，恰好前一天我做了Reids缓存导致管理片刻的前端ui被缓存了，这位网友又刚好看到，并尝试置顶了我的一条说说，哈哈哈。庆幸没有被恶意人员提前发现漏洞。