discuz x2 阅读权限可被绕过

纯良 · 发表于 2011-12-20 14:00:06

目前论坛版主反映，有人通过阅读代码的方式找到了0day，绕过了高达255的阅读权限限制，访问到了一般会员无法访问到的内容，对方登录id为普通权限id，无任何特殊权限。

具体问题正在试图与当事人沟通，也希望官方可以先行排查。

m.king · 发表于 2011-12-20 18:40:50

提供下你的论坛地址，测试账号密码，管理员账号密码！！方便我们测试。

纯良 · 发表于 2011-12-21 09:51:49

m.king 发表于 2011-12-20 18:40
提供下你的论坛地址，测试账号密码，管理员账号密码！！方便我们测试。

和发现者沟通和他表示是仅附件的阅读权限可以被绕过，具体地址和帐号因为涉及隐私需要和当事人进行沟通

m.king · 发表于 2011-12-21 14:14:32

纯良发表于 2011-12-21 09:51
和发现者沟通和他表示是仅附件的阅读权限可以被绕过，具体地址和帐号因为涉及隐私需要和当事人进行沟通

尽快提供下我测试看看是否确实存在该问题。

纯良 · 发表于 2012-1-2 23:16:49

m.king 发表于 2011-12-21 14:14
尽快提供下我测试看看是否确实存在该问题。

发现者不肯透露具体实现。。但是漏洞是确定存在的，而且应该无关具体论坛，其他就没办法提供了，抱歉

yu789 · 发表于 2012-1-3 15:45:50

男的女的？

m.king · 发表于 2012-1-4 09:47:28

纯良发表于 2012-1-2 23:16
发现者不肯透露具体实现。。但是漏洞是确定存在的，而且应该无关具体论坛，其他就没办法提供了，抱歉

我们按照你查看一下发现者的动作，看他是不是通过手机或者其他方式进行看的。

konjian · 发表于 2012-1-4 13:12:39

{:soso_e155:}

纯良 · 发表于 2012-1-5 08:55:44

m.king 发表于 2012-1-4 09:47
我们按照你查看一下发现者的动作，看他是不是通过手机或者其他方式进行看的。

没发现后台哪里可以查看用户的操作记录- -

服务器端的话。。是虚拟主机

ze3t · 发表于 2012-1-5 11:25:49

。。是虚拟主机

		自动登录	找回密码
密码			立即注册