WordPress.org

Make WordPress Core

Ticket #15969: 15969.2.diff

File 15969.2.diff, 1.8 KB (added by PeteMall, 4 years ago)

Nonce checks for site-users.

  • wp-admin/network/site-users.php

     
    6262         
    6363        switch ( $action ) { 
    6464                case 'newuser': 
     65                        check_admin_referer( 'add-user', '_wpnonce_add-new-user' ); 
    6566                        $user = $_POST['user']; 
    6667                        if ( !is_array( $_POST['user'] ) || empty( $user['username'] ) || empty( $user['email'] ) ) { 
    6768                                $update = 'err_new'; 
     
    8081                        break; 
    8182 
    8283                case 'adduser': 
     84                        check_admin_referer( 'add-user', '_wpnonce_add-user' ); 
    8385                        if ( !empty( $_POST['newuser'] ) ) { 
    8486                                $update = 'adduser'; 
    8587                                $newuser = $_POST['newuser'];                            
     
    101103                case 'remove': 
    102104                        if ( !current_user_can('remove_users')  ) 
    103105                                die(__('You can’t remove users.')); 
    104                                  
     106                        check_admin_referer( 'bulk-users' ); 
     107                         
    105108                        $update = 'remove'; 
    106109                        if ( isset( $_REQUEST['users'] ) ) { 
    107110                                $userids = $_REQUEST['users']; 
     
    118121                        break; 
    119122 
    120123                case 'promote': 
     124                        check_admin_referer( 'bulk-users' ); 
    121125                        $editable_roles = get_editable_roles(); 
    122126                        if ( empty( $editable_roles[$_REQUEST['new_role']] ) ) 
    123127                                wp_die(__('You can’t give users that role.')); 
     
    258262                        </select></td> 
    259263                </tr> 
    260264        </table> 
     265        <?php wp_nonce_field( 'add-user', '_wpnonce_add-user' ) ?> 
    261266        <?php submit_button( __('Add User'), 'primary', 'add-user' ); ?> 
    262267</form> 
    263268<?php endif; ?> 
     
    293298                        <td colspan="2"><?php _e( 'Username and password will be mailed to the above email address.' ) ?></td> 
    294299                </tr> 
    295300        </table> 
    296         <?php wp_nonce_field( 'add-user', '_wpnonce_add-user' ) ?> 
     301        <?php wp_nonce_field( 'add-user', '_wpnonce_add-new-user' ) ?> 
    297302        <?php submit_button( __('Add New User'), 'primary', 'add-user' ); ?> 
    298303</form> 
    299304<?php endif; ?>