开源社区论坛软件系统Discuz高危跨站漏洞 漏洞银行丨0DAY BANK

漏洞类别:跨站攻击

漏洞等级:

漏洞详情

【风险概述】:导致论坛站点用户信息被窃取等风险;

【漏洞描述】Discuz的helper_mobile.php存在跨站漏洞,攻击者可利用该漏洞窃取论坛站点用户信息。

【影响版本】:全版本

【修复建议】 

 修改文件:source/class/helper/helper_mobile.php

找到以下两行

$query_sting_tmp = str_replace(array(‘&mobile=yes’,’mobile=yes’), array(”), $_SERVER[‘QUERY_STRING’]);

$_G[‘setting’][‘mobile’][‘pageurl’] =$_G[‘siteurl’].substr($_G[‘PHP_SELF’], 1).($query_sting_tmp ?’?’.$query_sting_tmp.’&mobile=no’ : ‘?mobile=no’ );

替换为以下四行

parse_str($_SERVER[‘QUERY_STRING’], $query);

$query[‘mobile’] = ‘no’;

$query_sting_tmp = http_build_query($query);

$_G[‘setting’][‘mobile’][‘pageurl’] =$_G[‘siteurl’].substr($_G[‘PHP_SELF’], 1).$query_sting_tmp;

本文转自:http://bbs.qcloud.com/thread-21641-1-1.html

2 comments

Leave a Reply