请选择 进入手机版 | 继续访问电脑版

千帆云

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 3381|回复: 0

【重要】Discuz论坛官方微信登录插件发现能绕过论坛限制非法注册用户的漏洞

[复制链接]

2

主题

2

帖子

0

积分

认证会员

Rank: 7Rank: 7Rank: 7

积分
0
发表于 2019-1-2 18:24:19 | 显示全部楼层 |阅读模式
      近日有千帆论坛托管客户站点委托第三方安全公司进行安全渗透测试时发现,其在用的Discuz论坛存在SSRF安全漏洞,经过千帆运维工程师详查并抽取多家Discuz站点实测,发现该漏洞由Discuz论坛官方微信登录插件产生,攻击者可以利用该插件的漏洞绕过论坛的邮箱、手机号等各种验证非法创建论坛账号,通过该漏洞创建的论坛账号具备一般用户的所有权限,可以任意发帖回帖。

      目前千帆技术运维部并没有在网上找到Discuz官方或者权威的第三方提供的漏洞修复说明,为避免该漏洞被非法利用,在论坛产生大量非法账号与非法信息,建议站点根据自身开发能力自行选择予以修复,或者在论坛后台关闭微信登录插件。

      插件关闭方法:登录论坛后台——应用,找到微信登录 1.1.6 (wechat),点击右侧关闭按钮即可,如下图:

6.jpg


      漏洞披露地址:https://gitee.com/ComsenzDiscuz/DiscuzX/issues/IPRUI

      非法注册无需验证直接发帖演示:
2.jpg

3.jpg

1.jpg

4.jpg

5.jpg






回复

使用道具 举报

高级模式
B Color Image Link Quote Code Smilies |上传

本版积分规则

Archiver|手机版|小黑屋|千帆移动开放平台  

GMT+8, 2021-6-19 08:21

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表