Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

check_seccode()取出该值时也没有检查是否合法,导致漏洞产生

[复制链接]
肖哥随遇而安~ 发表于 2016-8-26 13:37:37 | 显示全部楼层 |阅读模式
Crossday Discuz! Board(简称 Discuz!)是一款社区论坛软件系统。Discuz! X3.2存在文件包含漏洞,问题出在代码中的函数check_seccode(),该函数在/source/class/helper/helper_seccheck.php中,作用是检查验证码是否正确。在后台的防灌水功能中可以设置验证码类型,对应的变量是$_G['setting']['seccodedata']['type'],该值在进入数据库前未做安全检查。check_seccode()取出该值时也没有检查是否合法,导致漏洞产生。


这个问题哪位知道
crx349 发表于 2016-9-6 14:31:54 | 显示全部楼层
升级最新版看看
回复

使用道具 举报

 楼主| 肖哥随遇而安~ 发表于 2016-9-6 18:11:58 | 显示全部楼层
crx349 发表于 2016-9-6 14:31
升级最新版看看

我的是最新版的3.2
回复

使用道具 举报

ARCHY` 发表于 2016-9-9 22:02:54 | 显示全部楼层
最新版本在服务器安全没问题的情况 应该是不存在该问题的
回复

使用道具 举报

hbfly 发表于 2016-9-10 10:04:57 | 显示全部楼层
ARCHY` 发表于 2016-9-9 22:02
最新版本在服务器安全没问题的情况 应该是不存在该问题的

百度云观测,查到的,应该通过外部扫描查到的。而且貌似是近几天才有的最新的漏洞。
回复

使用道具 举报

红叶疯 发表于 2016-9-13 10:28:51 | 显示全部楼层
百度云观测的确提示该漏洞,我也收到了~
回复

使用道具 举报

蝉迹 发表于 2016-9-13 17:09:57 | 显示全部楼层
我们也出现这个情况 非常影响百度收录,求助。
回复

使用道具 举报

我是非凡哥 发表于 2016-9-17 22:16:57 | 显示全部楼层
我也出现这种情况!求解决方法!
回复

使用道具 举报

邯郸小龙 发表于 2016-9-19 11:44:00 | 显示全部楼层
我也出现此问题了  官方也不解决啊
回复

使用道具 举报

coolid 发表于 2016-9-19 13:35:08 | 显示全部楼层
我也看到提示这个bug,不知道官方什么时间给出答案!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-12-27 00:51 , Processed in 0.029489 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表