【每日安全资讯】漏洞预警:Discuz! 任意文件删除漏洞

2017 年 10 月 1 日 Linux中国 安华金和

Crossday Discuz! Board(简称 Discuz!)是北京康盛新创科技有限责任公司推出的一套通用的开源的社区论坛软件系统。采用 PHP 和 MySQL 构建的性能优异、功能全面的社区论坛平台。利用特殊构造的请求触发可参与文件删除操作,导致了任意文件删除漏洞的发生。早在2014年有白帽子向官方报告了一个类似的漏洞,但是由于没有修补全导致还有其他方式可以进行利用。

*由于Discuz官方暂未发布正式补丁及升级包,FreeBuf对漏洞细节暂不公开

影响范围

Discuz! X3.3

Discuz! X3.2

Discuz! X3.1

Discuz! X2.5

缓解措施

根据参考连接里的commit编辑upload/source/include/spacecp/spacecp_profile.php文件,删除和unlink相关代码。

参考

https://gitee.com/ComsenzDiscuz/DiscuzX/commit/7d603a197c2717ef1d7e9ba654cf72aa42d3e574

 

* 本文作者:Sphinx,来自FreeBuf.COM

更多资讯

◈ 报告:全球网络犯罪猖獗 黑客可入侵银行ATM机

http://t.cn/R0EeUGn

◈ 全球僵尸网络掌控670万被劫持设备 俄罗斯居榜首

http://t.cn/R0EeUNc

◈ 苹果Mac固件爆漏洞:黑客可以发起攻击

http://t.cn/R0Ee4A3

◈ 传谷歌将推销双U盾帐号保护技术 更好应对黑客入侵

http://t.cn/R0Ee4J1

(信息来源于网络,安华金和搜集整理)



登录查看更多
0

相关内容

PHP 是英文超级文本预处理语言(PHP:Hypertext Preprocessor)的缩写。PHP 是一种 HTML 内嵌式的语言,是一种在服务器端执行的嵌入 HTML 文档的脚本语言,语言的风格有类似于 C 语言,被广泛的运用。PHP 具有非常强大的功能,所有的 CGI 的功能 PHP 都能实现,而且支持几乎所有流行的数据库以及操作系统。
Python分布式计算,171页pdf,Distributed Computing with Python
专知会员服务
107+阅读 · 2020年5月3日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
【干货】用BRET进行多标签文本分类(附代码)
专知会员服务
84+阅读 · 2019年12月27日
【电子书】C++ Primer Plus 第6版,附PDF
专知会员服务
87+阅读 · 2019年11月25日
资源|Blockchain区块链中文资源阅读列表
专知会员服务
43+阅读 · 2019年11月20日
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
泰国通过个人信息保护法
蚂蚁金服评论
16+阅读 · 2019年4月3日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
已删除
生物探索
3+阅读 · 2018年2月10日
TensorFlow、Caffe、Torch 三大深度学习框架被存在安全漏洞
A Survey on Edge Intelligence
Arxiv
52+阅读 · 2020年3月26日
Arxiv
45+阅读 · 2019年12月20日
Arxiv
35+阅读 · 2019年11月7日
Arxiv
6+阅读 · 2018年1月29日
Arxiv
11+阅读 · 2018年1月15日
VIP会员
相关资讯
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
泰国通过个人信息保护法
蚂蚁金服评论
16+阅读 · 2019年4月3日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
已删除
生物探索
3+阅读 · 2018年2月10日
TensorFlow、Caffe、Torch 三大深度学习框架被存在安全漏洞
相关论文
A Survey on Edge Intelligence
Arxiv
52+阅读 · 2020年3月26日
Arxiv
45+阅读 · 2019年12月20日
Arxiv
35+阅读 · 2019年11月7日
Arxiv
6+阅读 · 2018年1月29日
Arxiv
11+阅读 · 2018年1月15日
Top
微信扫码咨询专知VIP会员