360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程

标题: Discuz！被曝存在XSS安全漏洞 [打印本页]

作者: 360网站管家 时间: 2017-11-22 16:07
标题: Discuz！被曝存在XSS安全漏洞
Discuz！被曝存在XSS安全漏洞，攻击者利用该漏洞可导致用户身份凭证被窃取。
       为避免您的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

【漏洞详情】
   Discuz >=X2.5版本存在一个XSS漏洞，被外部攻击者利用可导致用户身份凭证被窃取。

【风险等级】
中风险

【漏洞风险】
身份凭证被窃取

【影响版本】
目前已知受影响版本如下：
Discuz >=X2.5

【安全版本】
官方暂未发布新版本，但已经发布修复代码。

【修复建议】
  您可以参照如下方式进行修复：
1）在网站目录找到文件：upload/template/default/ranklist/ranklist.htm
2）打开上述文件，搜索文字：
$memberlist[0][username]: $memberlist[0][note]
将其替换为：
$memberlist[0][username]: {echo htmlspecialchars($memberlist[0][note])

【漏洞参考】
  1）https://gitee.com/ComsenzDiscuz/DiscuzX/commit/f6b096a5b6fb9a6f7f6f8276567433488edaa597

欢迎光临 360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程 (http://bbs.360wzgj.com/)