软件下载 | 资讯教程 | 最近更新 | 下载排行 | 一键转帖 | 发布投稿
您的位置:最火下载站 > 资讯阅读 > 软件资讯 > Discuz Wap功能模块出现注入漏洞(已发布补丁)

Discuz Wap功能模块出现注入漏洞(已发布补丁)

昨日Discuz官方更新最新的安全补丁,称由于PHP对多字节字符集的支持存在问题,在各种编码相互转换过程中,有可能引发程序溢出和程序错误。恶意用户可能通过wap 功能对论坛发起攻,建议用户更新Wap安全补丁。

Discuz!论坛wap功能模块编码的注射漏洞

发布时间:2008-08-04

SBEUGID:SEBUGV2008083778

影响版本:

Discuz!4.0.0

Discuz!4.1.0

Discuz!5.0.0

Discuz!5.5.0

Discuz!6.0.0

Discuz!6.1.0

描述:Discuz!论坛系统是一个采用 PHP 和 MySQL 等其他多种数据库构建的高效论坛解决方案。Discuz! 在代码质量,运行效率,负载能力,安全等级,功能可操控性和权限严密性等方面都在广大用户中有良好的口碑。

由于 PHP 对 多字节字符集的支持存在问题,在各种编码相互转换过程中,有可能引发程序溢出和程序错误

提交一个 '

转意成 \'

然后转成gbk的,\和'就变成两个字符了

'就可以成功的引入

官方回应:

由于PHP对多字节字符集的支持存在问题,在各种编码相互转换过程中,有可能引发程序溢出和程序错误。此问题目前已经影响到 Discuz! 论坛的 wap 功能模块的使用,恶意用户可能通过 wap 功能对论坛发起攻击。为此我们强烈建议您立即下载补丁进行修补。

官方补丁包:http://download.comsenz.com/Discuz/patch/20080804discuz_fix_all.zip

修正方法:

1. 解开压缩包,选择适当的版本

2. 将对应目录中的wap目录上传到论坛根目录,覆盖掉以前的旧wap 文件。
    相关阅读
    网友评论
    栏目导航
    推荐软件