【安全预警】关于 Discuz! 越权登录漏洞的通知

尊敬的腾讯云客户，您好：       近日，腾讯云安全中心监测到 Discuz! 被报告存在一个越权登录漏洞（漏洞编号：CVE-2018-20424），攻击者可能利用该漏洞越权登录其他用户账号，执行危险操作，危害用户数据安全。       为避免您的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。


【漏洞详情】
  Discuz! 在 X2.5 之后的版本默认增加了微信登录相关的功能模块，该模块中存在的一个问题导致攻击者有较低可能性越权登录其他用户账号，执行危险操作，危害用户数据安全。


【风险等级】
   中风险

【漏洞风险】
  越权登录

【影响版本】
  目前已知受影响版本如下：
  Discuz_X2.5 之后的版本

【安全版本】
  可通过代码更新修复

【修复建议】
  参考修复方法：
  修改 src/source/plugin/wechat/wechat.inc.php 文件 230 行，将 "if($_G['wechat']['setting']['wechat_qrtype'])" 修改为 "if(0)" 。

【备注】建议您在加固前做好数据备份工作，避免出现意外。

【漏洞参考】
  1）漏洞详情：https://gitee.com/ComsenzDiscuz/DiscuzX/issues/IPRUI