建站问题 Discuz! X3.2存在文件包含漏洞

[复制链接]
风吹叶儿落 发表于 2016-9-13 20:35:28 [建站问题] 显示全部楼层 |阅读模式 上一主题 下一主题

马上注册,一起探讨正确快速的建站方法

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
漏洞描述
Crossday discuz! Board(简称 Discuz!)是一款社区论坛软件系统。Discuz! X3.2存在文件包含漏洞,问题出在代码中的函数check_seccode(),该函数在/source/class/helper/helper_seccheck.php中,作用是检查验证码是否正确。在后台的防灌水功能中可以设置验证码类型,对应的变量是$_G['setting']['seccodedata']['type'],该值在进入数据库前未做安全检查。check_seccode()取出该值时也没有检查是否合法,导致漏洞产生。

影响版本
Discuz! Discuz! X3.2

漏洞等级
高危

修复方案
对输入数据库的变量进行安全检测,避免相关漏洞的产生。




这么修复、?谁知道




上一篇:discuz怎样修改代码可以让积分实现支持小数点
下一篇:帖内楼层广告位
东莞http://hao158.net/上海http://021snw.net/蒲友论坛http://puyouluntan.com/

大神点评2

ARCHY明星会员实名认证 发表于 2016-9-16 16:50:19 [建站问题] 显示全部楼层
如果是最新0601版本的  可以忽略这个漏洞的

这个安全问题前提是拥有后台权限的会有这样的风险,以后版本更新X32也会修复该问题的
 楼主| 风吹叶儿落 发表于 2016-9-19 09:45:47 [建站问题] 显示全部楼层
ARCHY 发表于 2016-9-16 16:50
如果是最新0601版本的  可以忽略这个漏洞的

这个安全问题前提是拥有后台权限的会有这样的风险,以后版本 ...

哪我现在应该怎么修复啊?
东莞http://hao158.net/上海http://021snw.net/蒲友论坛http://puyouluntan.com/
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

快速回复 返回顶部 返回列表