千帆云

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 7973|回复: 0
打印 上一主题 下一主题

【重要】Discuz论坛官方微信登录插件发现能绕过论坛限制非法注册用户的漏洞

[复制链接]

2

主题

2

帖子

0

积分

认证版主

Rank: 7Rank: 7Rank: 7

积分
0
跳转到指定楼层
楼主
发表于 2019-1-2 18:24:19 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式 | 来自江苏
      近日有千帆论坛托管客户站点委托第三方安全公司进行安全渗透测试时发现,其在用的Discuz论坛存在SSRF安全漏洞,经过千帆运维工程师详查并抽取多家Discuz站点实测,发现该漏洞由Discuz论坛官方微信登录插件产生,攻击者可以利用该插件的漏洞绕过论坛的邮箱、手机号等各种验证非法创建论坛账号,通过该漏洞创建的论坛账号具备一般用户的所有权限,可以任意发帖回帖。

      目前千帆技术运维部并没有在网上找到Discuz官方或者权威的第三方提供的漏洞修复说明,为避免该漏洞被非法利用,在论坛产生大量非法账号与非法信息,建议站点根据自身开发能力自行选择予以修复,或者在论坛后台关闭微信登录插件。

      插件关闭方法:登录论坛后台——应用,找到微信登录 1.1.6 (wechat),点击右侧关闭按钮即可,如下图:




      漏洞披露地址:https://gitee.com/ComsenzDiscuz/DiscuzX/issues/IPRUI

      非法注册无需验证直接发帖演示:















分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏1 支持支持2 反对反对
回复

使用道具 举报

高级模式
B Color Image Link Quote Code Smilies |上传

本版积分规则

QQ|Archiver|手机版|小黑屋|千帆移动开放平台  

GMT+8, 2024-12-25 09:49

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表