Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

[求助] Discuz的helper_mobile.php存在跨站漏洞

[复制链接]
随机 发表于 2016-9-13 15:20:47 | 显示全部楼层 |阅读模式
腾讯云安全监测到开源社区论坛软件系统Discuz存在一个高危跨站漏洞,攻击者利用该漏洞可窃取论坛站点用户信息。
       由于该漏洞影响版本为全版本,且影响范围较大,风险等级较高,如果您采用了Discuz,我们强烈建议您对您的论坛进行安全加固
漏洞详情如下
【风险概述】:导致论坛站点用户信息被窃取等风险;
【漏洞描述】Discuz的helper_mobile.php存在跨站漏洞,攻击者可利用该漏洞窃取论坛站点用户信息。
【影响版本】:全版本
【修复建议】
  修改文件:source/class/helper/helper_mobile.php
找到以下两行
$query_sting_tmp = str_replace(array('&mobile=yes','mobile=yes'), array(''), $_SERVER['QUERY_STRING']);
$_G['setting']['mobile']['pageurl'] =$_G['siteurl'].substr($_G['PHP_SELF'], 1).($query_sting_tmp ?'?'.$query_sting_tmp.'&mobile=no' : '?mobile=no' );
替换为以下四行
parse_str($_SERVER['QUERY_STRING'], $query);
$query['mobile'] = 'no';
$query_sting_tmp = http_build_query($query);
$_G['setting']['mobile']['pageurl'] =$_G['siteurl'].substr($_G['PHP_SELF'], 1).$query_sting_tmp;

pxw2002 发表于 2016-11-12 19:03:13 来自手机 | 显示全部楼层
这个官方没说
回复

使用道具 举报

crx349 发表于 2016-11-12 20:55:08 | 显示全部楼层
按提示 尝试使用 addslashes()修复哦
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-11-25 00:42 , Processed in 0.018911 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表