WordPress.org

Make WordPress Core

Ticket #15969: 15969.2.diff

File 15969.2.diff, 1.8 KB (added by PeteMall, 7 years ago)

Nonce checks for site-users.

  • wp-admin/network/site-users.php

     
    6262       
    6363        switch ( $action ) {
    6464                case 'newuser':
     65                        check_admin_referer( 'add-user', '_wpnonce_add-new-user' );
    6566                        $user = $_POST['user'];
    6667                        if ( !is_array( $_POST['user'] ) || empty( $user['username'] ) || empty( $user['email'] ) ) {
    6768                                $update = 'err_new';
     
    8081                        break;
    8182
    8283                case 'adduser':
     84                        check_admin_referer( 'add-user', '_wpnonce_add-user' );
    8385                        if ( !empty( $_POST['newuser'] ) ) {
    8486                                $update = 'adduser';
    8587                                $newuser = $_POST['newuser'];                           
     
    101103                case 'remove':
    102104                        if ( !current_user_can('remove_users')  )
    103105                                die(__('You can’t remove users.'));
    104                                
     106                        check_admin_referer( 'bulk-users' );
     107                       
    105108                        $update = 'remove';
    106109                        if ( isset( $_REQUEST['users'] ) ) {
    107110                                $userids = $_REQUEST['users'];
     
    118121                        break;
    119122
    120123                case 'promote':
     124                        check_admin_referer( 'bulk-users' );
    121125                        $editable_roles = get_editable_roles();
    122126                        if ( empty( $editable_roles[$_REQUEST['new_role']] ) )
    123127                                wp_die(__('You can’t give users that role.'));
     
    258262                        </select></td>
    259263                </tr>
    260264        </table>
     265        <?php wp_nonce_field( 'add-user', '_wpnonce_add-user' ) ?>
    261266        <?php submit_button( __('Add User'), 'primary', 'add-user' ); ?>
    262267</form>
    263268<?php endif; ?>
     
    293298                        <td colspan="2"><?php _e( 'Username and password will be mailed to the above email address.' ) ?></td>
    294299                </tr>
    295300        </table>
    296         <?php wp_nonce_field( 'add-user', '_wpnonce_add-user' ) ?>
     301        <?php wp_nonce_field( 'add-user', '_wpnonce_add-new-user' ) ?>
    297302        <?php submit_button( __('Add New User'), 'primary', 'add-user' ); ?>
    298303</form>
    299304<?php endif; ?>