发布时间:2019-12-13 16:17:13,来源:中国信息通信研究院
Discuz!X全版本存在SQL注入漏洞。攻击者利用该漏洞,通过SQL注入攻击可获取服务器的最高权限。
Discuz!全称Crossday Discuz! Board,是一套通用的社区论坛软件系统。自2001年6月面世以来,Discuz!已拥有15年以上的应用历史和200多万网站用户案例,是全球成熟度最高、覆盖率最大的论坛软件系统之一。
Discuz!X全版本存在SQL注入漏洞。该漏洞产生的原因是在Discuz源码source\admincp\admincp_setting.php在处理某参数时未进行完全过滤,导致出现二次注入,Discuz!X全版本中的admincp_setting.php文件中某参数存在SQL注入漏洞。攻击者可以利用该漏洞,通过SQL注入攻击获取服务器的最高权限。
受影响版本:
Discuz! <= X3.4 R20191201 UTF-8
目前官方尚未发布安全更新,请用户及时关注官方信息:
https://www.discuz.net/forum.php
1) https://xz.aliyun.com/t/6927