欧阳子桐 / RuoYi · 提交

转到一个项目

作者 江强
提交 3347ca4d7484d9141b189462e169b2be4d324632 1 个父辈 9b188398

fix:Issue #I42GRW 修复任意账户越权漏洞

内嵌 并排对比
正在显示 1 个修改的文件 包含 4 行增加1 行删除
@@ -71,9 +71,12 @@ public class SysProfileController extends BaseController @@ -71,9 +71,12 @@ public class SysProfileController extends BaseController
71 { 71 {
72 return AjaxResult.error("修改用户'" + user.getUserName() + "'失败,邮箱账号已存在"); 72 return AjaxResult.error("修改用户'" + user.getUserName() + "'失败,邮箱账号已存在");
73 } 73 }
  74 + LoginUser loginUser = tokenService.getLoginUser(ServletUtils.getRequest());
  75 + SysUser sysUser = loginUser.getUser();
  76 + user.setUserId(sysUser.getUserId());
  77 + user.setPassword(null);
74 if (userService.updateUserProfile(user) > 0) 78 if (userService.updateUserProfile(user) > 0)
75 { 79 {
76 - LoginUser loginUser = tokenService.getLoginUser(ServletUtils.getRequest());  
77 // 更新缓存用户信息 80 // 更新缓存用户信息
78 loginUser.getUser().setNickName(user.getNickName()); 81 loginUser.getUser().setNickName(user.getNickName());
79 loginUser.getUser().setPhonenumber(user.getPhonenumber()); 82 loginUser.getUser().setPhonenumber(user.getPhonenumber());