漏洞,函数check_seccode()，该函数在/source/class/helper/helper_seccheck.php中

左手dê承諾 · 发表于 2016-10-15 16:00:05

漏洞描述
Crossday Discuz! Board（简称 Discuz!）是一款社区论坛软件系统。Discuz! X3.2存在文件包含漏洞，问题出在代码中的函数check_seccode()，该函数在/source/class/helper/helper_seccheck.php中，作用是检查验证码是否正确。在后台的防灌水功能中可以设置验证码类型，对应的变量是$_G['setting']['seccodedata']['type']，该值在进入数据库前未做安全检查。check_seccode()取出该值时也没有检查是否合法，导致漏洞产生。

影响版本
Discuz! Discuz! X3.2

漏洞等级
高危

修复方案
对输入数据库的变量进行安全检测，避免相关漏洞的产生。

这要怎么解决

crx349 · 发表于 2016-10-15 21:40:39

按提示进行函数过滤写得很清楚呢

magentoon · 发表于 2016-10-16 06:26:43

老是这样的帖
极小极小的一个问题

左手dê承諾 · 发表于 2016-10-16 18:46:17

crx349 发表于 2016-10-15 21:40
按提示进行函数过滤写得很清楚呢

不会过滤，，能直接给个文件吗

		自动登录	找回密码
密码			立即注册

[求助] 漏洞,函数check_seccode()，该函数在/source/class/helper/helper_seccheck.php中

本帖子中包含更多资源