漏洞描述 在qr_portal_status.php文件中,将前端post过来的info参数进行base64解码、json解码等简单操作后就拼接到请求url中。攻击者可配合匿名账户获取的ticket越权访问服务器中的资源。