关于Discuz ML! V3.X存在任意代码注入高危漏洞的紧急预警通报

作者:深圳市网安计算机安全检测技术有限公司 | 国际 2019/07/25 09:47:33 561
文章来源:https://www.toutiao.com/a6717043891435995652/

        近日,国内网络安全团队HSCERT监测发现:Discuz ML! V3.X存在任意代码注入高危漏洞。攻击者可利用该漏洞获取整个网站服务器权限。漏洞详情通报如下:

一、漏洞情况

        Discuz!全称Crossday Discuz! Board是北京康盛新创科技有限责任公司推出的一套通用社区论坛软件系统,该系统具有15年以上的应用历史和200余万网站用户案例,是全球成熟度最高、覆盖率最大的论坛软件系统之一。

        该漏洞存在于请求流量中cookie参数的language字段,攻击者可利用该漏洞在请求流量的cookie字段中(language参数)插入任意代码,从而完全远程控制整个网站服务器。

二、影响范围

Discuz!ML v.3.4

Discuz!ML v.3.2

Discuz!ML v.3.3

三、处置建议

目前,官方暂未进行安全更新。请广大用户及时关注官方网站获取最新信息。

附件:

参考链接

https://bitbucket.org/vot/discuz.ml/commits/all

推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室