聚名网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 543|回复: 0

[discuz教程] Discuz SSRF漏洞通告,登录名、邮箱登录漏洞

[复制链接]

1410

主题

1412

帖子

4524

积分

论坛元老

Rank: 8Rank: 8

积分
4524
发表于 2015-11-30 16:43:02 | 显示全部楼层 |阅读模式
Discuz SSRF漏洞通告,登录名、邮箱登录漏洞

1,discuz论坛的系统经常会有漏洞,是否会影响主站帐号密码安全
2,http://域名/home.php?mod=space&uid=913
比如这样就泄漏了登录名和客户邮箱
要是有批量诈骗怎么防范

你和技术说下他们懂的
这Discuz论坛1年出好几次漏洞
而且很多未知漏洞还掌握在黑客手上

这样推广者可以直接给景安客户发低价推广邮件了
例如阿里云收集一下,定向发送。。
直接露ID显然不好

你看看联系怎么调整吧
[2015.11.12] Discuz SSRF漏洞通告
漏洞描述:Discuz X3.2 /source/module/forum/forum_ajax.php文件中的imageurl可被用户控制,虽然限制为图片后缀,但可轻易绕过,导致SSRF漏洞。
漏洞危害:利用漏洞可访问内网资源,内网扫描,甚至反弹shell(配合其他漏洞)
漏洞来源:百度云安全
影响版本:X3.2
漏洞等级:高危
修复建议:在当前厂商未提供升级或补丁的情况下,推荐使用百度云加速,目前百度云加速WAF防火墙已可以成功拦截。请继续关注云观测了解后续厂商修复情况。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表