Discuz！被曝存在XSS安全漏洞

360网站管家

Discuz！被曝存在XSS安全漏洞，攻击者利用该漏洞可导致用户身份凭证被窃取。
       为避免您的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

【漏洞详情】
   Discuz >=X2.5版本存在一个XSS漏洞，被外部攻击者利用可导致用户身份凭证被窃取。

【风险等级】
   中风险

【漏洞风险】
   身份凭证被窃取

【影响版本】
   目前已知受影响版本如下：
   Discuz >=X2.5

【安全版本】
   官方暂未发布新版本，但已经发布修复代码。

【修复建议】
  您可以参照如下方式进行修复：
   1）在网站目录找到文件：upload/template/default/ranklist/ranklist.htm
   2）打开上述文件，搜索文字：
    $memberlist[0][username]: $memberlist[0][note]
    将其替换为：
   $memberlist[0][username]: {echo htmlspecialchars($memberlist[0][note])

【漏洞参考】
  1）https://gitee.com/ComsenzDiscuz/DiscuzX/commit/f6b096a5b6fb9a6f7f6f8276567433488edaa597