阿里云
向代码致敬,寻找你的第83行
发表主题 回复主题
  • 3870阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Discuz!前台任意文件删除漏洞

级别: 论坛版主
发帖
232
云币
454
2017年9月29日,流行论坛系统Discuz!被曝出一个高危漏洞,黑客可利用该漏洞通过前台登录,删除任意文件。对于使用了Discuz!系统的业务存在高安全风险。 }wkaQQh  
具体漏洞详情如下: -y<x!61  
  
v|y<_Ya  
漏洞编号: ris;Iu^v0  
p[;8  
漏洞名称: ;x RjQR  
Discuz!前台任意文件删除漏洞 oYg/*k7EDX  
漏洞评级: 5^o3y.J?P  
高危 :>ZzP:QD  
漏洞描述: u mqKFM$  
在个人信息处,恶意攻击者可通过精心构造的数据包,提交给Discuz!程序,导致任意文件删除。 t_Z _!Qy  
漏洞利用条件和方式: sVlZNj9i"  
网站使用Discuz!搭建,并且软件版本在受影响范围内。 xrX?ZJ  
漏洞影响范围:  xLLC)~  
Discuz!X2.5-3.4版本 G#g{3}dcK  
漏洞检测: @!-aR u  
开发人员检查使用的Discuz!系统是否在受影响版本范围内。 Yg|l?d"  
漏洞修复建议(或缓解措施): w2K Wa-BO  
  • Discuz!官网未发布新的版本修复该漏洞,但已经更新问题spacecp_profile.php文件,用户可以根据业务身业务情况更新该文件。
  • 云盾安骑士已支持该漏洞的检测,您可以通过云盾安骑士检测和修复该漏洞。
  • 云盾WAF已支持防御该漏洞,您可以选用云盾WAF进行防御。
XzlIW&"uC  
情报来源: CElPU`J,\[  
  • https://gitee.com/ComsenzDiscuz/DiscuzX/blob/master/upload/source/include/spacecp/spacecp_profile.php
,?;sT`Mh)  
JYl\<Z' {  
GW:\l~ d  
[ 此帖被正禾在2017-09-30 21:53重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个