发现最新Discuz3.4版本漏洞

今天发现论坛被人挂吗了，分析了一下入侵日志，

首先被恶意上传了一张图片到系统相册（路径：/data/attachment/album/），图片用记事本打开里面有php木马，然后通过uc_server里的admin.php访问木马文件，就可以随意控制目录文件了，目前的只能限制uc目录权限来解决，由于是手机编辑，具体周一再发布具体内容吧。
=============================================
2020.1.6更新：
发现问题有点严重，上传到到相册的图片是通过admin帐号上传的，不是其他随便注册的帐号，而且管理帐号密码超级复杂，是不可能被破解的，应该还是存在注入漏洞，等待进一步排查日志再反馈。
楼下说关闭相册功能，我进后台发现这个功能本来就是关闭的。

关闭相册功能。禁止空间 发布日志  留言 打招呼 分享 。一般都没什么人用这些功能。用的都是不良目的。
限制部分目录权限

这个问题看着挺严重的。限制UC权限会不会对网站有什么影响呢?

为什么官方不回应呢？我也遇到了入侵的问题
discuz现漏洞，config_global.php配置文件被篡改！！！
https://discuz.dismall.com/thread-3848278-1-1.html
(出处: Discuz! 官方站)

DiscuzX已知的漏洞都会及时修补。网站入侵的原因是多方面的，不一定与DiscuzX有关。控制目录权限、php, nginx, apache用户的权限等都是防止问题扩大的重要手段。