打印 上一主题 下一主题

【安全预警】关于 Discuz! 越权登录漏洞的通知

跳转到指定楼层
楼主
SetYun 发表于 2019-1-21 09:59:33 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
尊敬的腾讯云客户,您好:       近日,腾讯云安全中心监测到 Discuz! 被报告存在一个越权登录漏洞(漏洞编号:CVE-2018-20424),攻击者可能利用该漏洞越权登录其他用户账号,执行危险操作,危害用户数据安全。       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。


【漏洞详情】
  Discuz! 在 X2.5 之后的版本默认增加了微信登录相关的功能模块,该模块中存在的一个问题导致攻击者有较低可能性越权登录其他用户账号,执行危险操作,危害用户数据安全。


【风险等级】
   中风险

【漏洞风险】
  越权登录

【影响版本】
  目前已知受影响版本如下:
  Discuz_X2.5 之后的版本

【安全版本】
  可通过代码更新修复

【修复建议】
  参考修复方法:
  修改 src/source/plugin/wechat/wechat.inc.php 文件 230 行,将 "if($_G['wechat']['setting']['wechat_qrtype'])" 修改为 "if(0)" 。

【备注】建议您在加固前做好数据备份工作,避免出现意外。

【漏洞参考】
  1)漏洞详情:https://gitee.com/ComsenzDiscuz/DiscuzX/issues/IPRUI



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|SetYun ( 辽ICP备16005250号

GMT+8, 2024-12-22 12:57 , Processed in 0.036384 second(s), 5 queries , File On.

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表