欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 853|回复: 0

[安全通知] 关于Discuz! 论坛前台任意文件删除漏洞通知

[复制链接]

198

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
30480
威望
12663
发表于 2017-9-30 15:14:51 |显示全部楼层
尊敬的腾讯云客户:
  您好,近日,腾讯云安全中心监测到Discuz论坛程序存在一个逻辑漏洞可导致服务器文件被恶意删除,目前Discuz! 官方团队已确认漏洞存在,且已经发布临时修复方案。
      为避免您的业务受影响,腾讯云安全中心建议您:及时开展安全自查,如在受影响范围,请您及时进行修复,避免被外部攻击者进行文件删除操作。

【漏洞概述】
  Discuz! X2.5-X3.4版本存在一个逻辑漏洞,被外部攻击者利用可导致服务器文件被恶意删除

【风险等级】
   高风险

【漏洞风险】
   恶意删除服务器文件

【影响版本】
   目前已知受影响版本如下:
   Discuz! X2.5-X3.4


【安全版本】
   官方暂未发布新版本,目前已给出了修复代码。

【修复建议】
如果您的论坛在受影响范围,建议您通过如下方式开展修复:
1)直接编辑受影响文件(upload/source/include/spacecp/spacecp_profile.php),搜索所有包含以下代码的行,整行删除:
     unlink(getglobal('setting/attachdir');

详细参见:https://gitee.com/ComsenzDiscuz/DiscuzX/commit/7d603a197c2717ef1d7e9ba654cf72aa42d3e574
2) 建议用户勿使用 root 权限启动 PHP 进程,同时限定死 PHP 的可操作路径,该方式可有效减轻类似安全漏洞所带来的影响。

【漏洞参考】
1)https://gitee.com/ComsenzDiscuz/DiscuzX/commit/7d603a197c2717ef1d7e9ba654cf72aa42d3e574



2017/9/30
您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-6-19 05:06 , Processed in 1.183081 second(s), 30 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部