Discuz严重安全问题 请discuz尽快修复

首先，我先把截图中的公布提供给官方
（http://www.tuzi123.com/thread-9782-1-1.html ）

这个漏洞已于2月5日发现，但是并没有及时反馈，刚刚与360网站卫士的技术人员确认，这是反射XSS。

pw9.0就没有这个问题

涉及到所有Discuz!X2以上开启云平台的站点，请官方尽快提供解决方案，甚至discuz官方也会出现这个问题。
先列举几个涉及到这个漏洞影响的大型站点：吾爱破解www.52pojie.cn（X2.5 20130201）、服务器安全狗论坛bbs.safedog.cn（X2）、加速乐论坛bbs.jiasule.com（X2.5 20121101）、谎言中国www.xliar.com（X2.5 20121101）等等

这个漏洞导致discuz的很多重要信息泄漏，比如站点云平台ID，站点discuz版本，站点Release版本，还有一些其他的信息
360网站卫士的QQ，官方可以与他们共同寻找解决目标（虽然知道360和腾讯关系不融洽）：2319981748

这个漏洞的查找过程：
我前几天搞的一个HTTP源码输出工具（http://www.tuzi123.com/thread-9729-1-1.html ）无意中发现，所有discuz的云平台站点都会出现如下图所示的问题


与360网站卫士进行交流才得知，是反射性xss，于是与官方反馈，如果证实真的是这样 请官方尽快发布更新包

确实严重！！！

楼主高手啊，这样的BUG都被你发现了。。

好久以前就有这个问题，据说是为了让管理员看到一些云平台的信息啥的，2.0只有管理员可见的，2.5不知道为啥所以会员都会输出这玩意
修改成只有管理员输出了

lubao515 发表于 2013-2-8 14:00
好久以前就有这个问题，据说是为了让管理员看到一些云平台的信息啥的，2.0只有管理员可见的，2.5不知道为啥 ...

工具在那，服务器安全狗论坛是X2的，地址是bbs.safedog.cn，你去输出下，仍旧可以输出

关注下{:soso_e113:}

右键查看源代码里就有这些信息。

现不知这些信息的危害，，  知道管些信息了，对论坛会有什么影响。  反正现在所有DX都是这样的，


为啥要放了这些信息来，放出这些信息来DX图的什么，有何意义？   
难道就是让云平台特意抓取这些信息而设置的。

哈哈，没看到哦……

kssbsr 发表于 2013-2-12 15:06
哈哈，没看到哦……

我看了下你的域名 站点首页不是discuz，请用

http://www.verycdfetch.tk/forum.php

测试

这样的信息暴露毕竟对站点安全还是很有影响的