Discuz!多版本,存储型XSS脚本漏洞(0day)
- 发表于
- 日志
发布时间:2011-06-23
影响版本:
Discuz! Discuz! 7.x
Discuz! Discuz! 6.x
漏洞描述:
Discuz论坛软件系统亦称电子公告板(BBS)系统,它伴随社区BBS的流行而成为互联网最重要的应用之一,也逐渐成为网站核心竞争力的标志性体现。
Discuz多个版本在实现上存在跨站脚本攻击漏洞,远程攻击者可利用这些漏洞在用户系统中执行恶意脚本代码
安全建议:
一:厂商补丁
Discuz!
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
二:网上的修复方法:
1. 查找代码: function parseemail($email, $text) {
2. 在后面增加一行代码:
$text = str_replace('\"', '"', $text);
但不一定全面,建议对所有使用preg_replace加了e修正符的地方进行检查。
原文连接:Discuz!多版本,存储型XSS脚本漏洞(0day)
所有媒体,可在保留署名、
原文连接
的情况下转载,若非则不得使用我方内容。