Discuz!X 3.4存储型XSS漏洞

  • 事件背景

Discuz!X是康盛公司(Comsenz)推出的一个以社区为基础的专业建站平台,它主要采用PHP和MySQL等其他多种数据库构建而成,该平台让论坛(BBS)、社交网络(SNS)、门户(Portal)、群组(Group)、开放平台(Open Platform)应用充分融合于一体。

近日,互联网上披露了Discuz!X 3.4的排行页面中存在存储型XSS漏洞,攻击者可以利用此漏洞盗取各类用户帐号等,后果较为严重。

天融信安全云服务运营中心长期以来密切关注互联网安全态势,对于安全威胁程度高,影响广泛的安全漏洞将进行持续追踪。

  • 漏洞危害

对于用户来说,存储型XSS危害还是非常大的。攻击者利用漏洞将js代码插入到页面内,用户访问带有恶意代码的页面后,一旦鼠标从头像上划过,便会执行攻击者编写的恶意代码,造成窃取用户Cookie,获取用户隐私,或者利用用户身份进一步执行操作的后果。

  • 漏洞影响范围

Discuz!X <=3.4

  • 修复建议

Discuz官方已经公布了解决方案。相关链接如下:

http://www.discuz.net/forum.php

发表评论

评论已关闭。

相关文章