DiscuzX 通杀刷积分漏洞【官方已修复发布补丁，内容公开】

加上最高权限，防止未修复发补丁前被坏人看到利用，这个是DiscuzX 通杀刷积分漏洞，操作过程很简单，和之前那个悬赏开多个页面，刷分漏洞是一个道理，没有判断帖子状态，这次刷分的功能不是悬赏，而是草稿，刷起来更加隐蔽不容易被发现。

操作步骤：
发帖保存为草稿，然后多开几个编辑帖子的页面，把帖子从草稿发表出去，然后再去另一个页面保存草稿，这样这个帖子又会保存成草稿，然后再发表再保存，每发表一次就会增加一次发帖数和奖励积分，但实际帖子只有一个，当草稿内自己的回帖越多，刷分也多，成几何倍数上涨，其实直接用Fiddler抓个包，请求2个数据就刷死了。

不来图了，之前发了一个帖子测试官方也一样，之前我论坛被小学生刷死了压根没找到怎么刷的，光看见帖子数涨了，真是艰辛，修复方案你们比我懂，我是这样的，你们可以参考：

\source\class\model\model_forum_post.php  

1. $displayorder = empty($this->param['save']) ? ($this->thread['displayorder'] == -4 ? -4 : $this->thread['displayorder']) : -4;

复制代码

改成

1. $displayorder = (empty($this->param['save']) || $this->thread['displayorder'] != -4) ? ($this->thread['displayorder'] == -4 ? -4 : $this->thread['displayorder']) : -4;

复制代码

收到，我们尽快处理

Cnteacher 发表于 2014-8-11 15:47
收到，我们尽快处理

Cnteacher，还有一堆没修复，包括本板块大量反馈无法支付的问题，之前认识的discuz小伙伴都不负责相关业务了，请问有没有处理论坛这方面bug的同事QQ联系方式之类bug，我可以确认肯定是bug后给予反馈，现在反馈渠道实在是太少了。

Cnteacher 发表于 2014-8-11 15:47
收到，我们尽快处理

如果可以的话，修复这个漏洞后发布公告的时候麻烦带上感谢“吾爱破解论坛”，谢谢。

wengongling 发表于 2014-8-11 17:07
如果可以的话，修复这个漏洞后发布公告的时候麻烦带上感谢“吾爱破解论坛”，谢谢。

可以的，没问题。

这个问题我们不会单独发布补丁，会随着下一个release发布。
目前时间未定。如果发布的时候我忘记加在感谢名单里，记得提醒我

Cnteacher 发表于 2014-8-19 13:02
可以的，没问题。

这个问题我们不会单独发布补丁，会随着下一个release发布。

好的，感谢Cnteacher！

Cnteacher 发表于 2014-8-19 13:02
可以的，没问题。

这个问题我们不会单独发布补丁，会随着下一个release发布。

https://download.discuz.vip/DiscuzX/3.2/

这里更新了居然没发公告。。。