【重要】Discuz论坛官方微信登录插件发现能绕过论坛限制非法注册用户的漏洞
近日有千帆论坛托管客户站点委托第三方安全公司进行安全渗透测试时发现,其在用的Discuz论坛存在SSRF安全漏洞,经过千帆运维工程师详查并抽取多家Discuz站点实测,发现该漏洞由Discuz论坛官方微信登录插件产生,攻击者可以利用该插件的漏洞绕过论坛的邮箱、手机号等各种验证非法创建论坛账号,通过该漏洞创建的论坛账号具备一般用户的所有权限,可以任意发帖回帖。目前千帆技术运维部并没有在网上找到Discuz官方或者权威的第三方提供的漏洞修复说明,为避免该漏洞被非法利用,在论坛产生大量非法账号与非法信息,建议站点根据自身开发能力自行选择予以修复,或者在论坛后台关闭微信登录插件。
插件关闭方法:登录论坛后台——应用,找到微信登录 1.1.6 (wechat),点击右侧关闭按钮即可,如下图:
漏洞披露地址:https://gitee.com/ComsenzDiscuz/DiscuzX/issues/IPRUI
非法注册无需验证直接发帖演示:
页:
[1]