【漏洞公告】Discuz!前台任意文件删除漏洞
2017年9月29日,流行论坛系统Discuz!被曝出一个高危漏洞,黑客可利用该漏洞通过前台登录,删除任意文件。对于使用了Discuz!系统的业务存在高安全风险。
具体漏洞详情如下:
漏洞编号:
无
漏洞名称:
Discuz!前台任意文件删除漏洞
漏洞评级:
高危
漏洞描述:
在个人信息处,恶意攻击者可通过精心构造的数据包,提交给Discuz!程序,导致任意文件删除。
漏洞利用条件和方式:
网站使用Discuz!搭建,并且软件版本在受影响范围内。
漏洞影响范围:
Discuz!X2.5-3.4版本
漏洞检测:
开发人员检查使用的Discuz!系统是否在受影响版本范围内。
漏洞修复建议(或缓解措施):
- Discuz!官网未发布新的版本修复该漏洞,但已经更新问题spacecp_profile.php文件,用户可以根据业务自身业务情况更新该文件。
- 云盾安骑士已支持该漏洞的检测,您可以通过云盾安骑士检测和修复该漏洞。
- 云盾WAF已支持防御该漏洞,您可以选用云盾WAF进行防御。
情报来源:
- https://gitee.com/ComsenzDiscuz/DiscuzX/blob/master/upload/source/include/spacecp/spacecp_profile.php
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
