当前位置:首页 > 安全预警 > 正文

Discuz! X系列全版本后台SQL注入漏洞预警

发布时间:2019-12-13 16:17:13,来源:中国信息通信研究院

      一、 基本情况

      Discuz!X全版本存在SQL注入漏洞。攻击者利用该漏洞,通过SQL注入攻击可获取服务器的最高权限。

      二、 攻击原理

      Discuz!全称Crossday Discuz! Board,是一套通用的社区论坛软件系统。自2001年6月面世以来,Discuz!已拥有15年以上的应用历史和200多万网站用户案例,是全球成熟度最高、覆盖率最大的论坛软件系统之一。

      Discuz!X全版本存在SQL注入漏洞。该漏洞产生的原因是在Discuz源码source\admincp\admincp_setting.php在处理某参数时未进行完全过滤,导致出现二次注入,Discuz!X全版本中的admincp_setting.php文件中某参数存在SQL注入漏洞。攻击者可以利用该漏洞,通过SQL注入攻击获取服务器的最高权限。

      三、 影响范围

      受影响版本:

      Discuz! <= X3.4 R20191201 UTF-8

      四、 处置建议

      目前官方尚未发布安全更新,请用户及时关注官方信息:

      https://www.discuz.net/forum.php

      五、参考链接

      1) https://xz.aliyun.com/t/6927