В WHMCS пользователь может войти с любым неправильным или правильным паролем
Я пытался создать ловушку для запроса внешнего источника, когда пользователь не существует:
add_hook("ClientLoginShare",1,"hook_login_user_from_ldap");
Затем я удалил этот кусок кода (теперь это оригинальные whmcs без каких-либо изменений).
Но теперь, какой бы пароль я ни вводил для пользователя, он входит в систему! Как это может быть и что я должен делать?
Записи для пользователей в БД кажутся правильными и нетронутыми:
email: [email protected]
password: fdc586a75dabee47810667b735a85e25:%cidv
(original password: abc1235)
Решение
Хорошо, я узнал, когда это произойдет. Когда администратор входит в тот же сеанс из панели администратора, каждый пользователь с любым паролем может войти в систему из панели пользователя!
Я не знаю, почему это происходит, но теперь, по крайней мере, я могу избежать этого.
Другие решения
Других решений пока нет …