全部产品
云市场
云游戏

【漏洞公告】Discuz!前台任意文件删除漏洞

更新时间:2018-03-19 11:48:56

2017年9月29日,论坛系统Discuz!被曝出一个高危漏洞。黑客可利用该漏洞通过前台登录,删除任意文件。对于使用了Discuz!系统的业务存在高安全风险。

漏洞详情见下文。


漏洞编号

漏洞名称

Discuz!前台任意文件删除漏洞

官方评级

高危

漏洞描述

在个人信息处,恶意攻击者可通过精心构造的数据包,提交给Discuz!程序,导致任意文件删除。

漏洞利用条件和方式

网站使用Discuz!搭建,并且软件版本在受影响范围内。

漏洞影响范围

Discuz!X2.5-3.4版本

漏洞检测

开发人员检查使用的Discuz!系统是否在受影响版本范围内。

漏洞修复建议(或缓解措施)

  • Discuz!官网未发布新的版本修复该漏洞,但已经更新有问题的spacecp_profile.php文件,您可以根据自身业务情况更新该文件。

  • 使用云盾安骑士检测和修复该漏洞。

  • 使用云盾WAF防御该漏洞。

情报来源

[1]. https://gitee.com/ComsenzDiscuz/DiscuzX/blob/master/upload/source/include/spacecp/spacecp_profile.php