×

关注微信公众号

查看: 2496|回复: 54

Discuz!X 曝前台任意文件删除漏洞

[复制链接]
a
0 0
  @ME:   
发表于 2017-10-5 08:24:58 来自手机 | 显示全部楼层 |阅读模式
2017 年 9 月 29 日, Discuz!修复了一个安全问题用于加强安全性,这个漏洞会导致前台用户可以导致任意删除文件漏洞。
一、漏洞信息
该漏洞于 2014年 6月被提交到Wooyun 漏洞平台,Seebug漏洞平台收录了该漏洞, 编号为 ssvid-93588。 该漏洞通过配置属性中formtype 为 file 绕过判断, 导致任意文件删除。
经过分析确认, 原有的利用方式无法利用, 但修复方式不完全导致可以绕过, 通过模拟文件上传可以进入其他 unlink 条件, 实现任意文件删除漏洞。
Discuz!X 社区软件,是一个采用 PHP 和 MySQL 等其他多种数据库构建的性能优异、功能全面、安全稳定的社区论坛平台。


二、漏洞触发条件
攻击者可以登录前台用户。

三、影响版本
Discuz_X 全版本

四、漏洞影响范围
通过 ZoomEye 网络空间探测引擎进行探测, 以下为网络空间上所有的使用了 Discuz! 的网站

五、防护方案
官方已发布更新,请及时更新程序。
登录:https://gitee.com/ComsenzDiscuz/ ... ba654cf72aa42d3e574
具体修改方案:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
铜陵博文教育咨询有限公司
a
0 0
  @ME:   
 楼主| 发表于 2017-10-5 08:25:48 来自手机 | 显示全部楼层
需要立即更新
铜陵在线网站用户免费领取保险
a
0 0
  @ME:   
发表于 2017-10-5 11:26:40 | 显示全部楼层
1 文件发生了变化, 影响行数: +0 -5

upload/source/include/spacecp/spacecp_profile.php
  1. if($_GET['deletefile'] && is_array($_GET['deletefile'])) {
  2.        
  3.                 foreach($_GET['deletefile'] as $key => $value) {
  4.        
  5.                         if(isset($_G['cache']['profilesetting'][$key]) && $_G['cache']['profilesetting'][$key]['formtype'] == 'file') {
  6.        
  7. -                                @unlink(getglobal('setting/attachdir').'./profile/'.$space[$key]);
  8.        
  9. -                                @unlink(getglobal('setting/attachdir').'./profile/'.$verifyinfo['field'][$key]);
  10.        
  11.                                 $verifyarr[$key] = $setarr[$key] = '';
  12.        
  13.                         }
  14.        
  15.                 }
  16. @@ -215,17 +213,14 @@ if(submitcheck('profilesubmit')) {
  17.        
  18.                                 $attach['attachment'] = dhtmlspecialchars(trim($attach['attachment']));
  19.        
  20.                                 if($vid && $verifyconfig['available'] && isset($verifyconfig['field'][$key])) {
  21.        
  22.                                         if(isset($verifyinfo['field'][$key])) {
  23.        
  24. -                                                @unlink(getglobal('setting/attachdir').'./profile/'.$verifyinfo['field'][$key]);
  25.        
  26.                                                 $verifyarr[$key] = $attach['attachment'];
  27.        
  28.                                         }
  29.        
  30.                                         continue;
  31.        
  32.                                 }
  33.        
  34.                                 if(isset($setarr[$key]) && $_G['cache']['profilesetting'][$key]['needverify']) {
  35.        
  36. -                                        @unlink(getglobal('setting/attachdir').'./profile/'.$verifyinfo['field'][$key]);
  37.        
  38.                                         $verifyarr[$key] = $attach['attachment'];
  39.        
  40.                                         continue;
  41.        
  42.                                 }
  43.        
  44. -                                @unlink(getglobal('setting/attachdir').'./profile/'.$space[$key]);
  45.        
  46.                                 $setarr[$key] = $attach['attachment'];
  47.        
  48.                         }
  49.        
  50.   
复制代码
a
0 0
  @ME:     
发表于 2017-10-5 11:32:45 | 显示全部楼层
http://blog.csdn.net/qq1124794084/article/details/78143718
Discuz!X 前台任意文件删除漏洞复现测试
a
0 0
  @ME:     
发表于 2017-10-5 11:33:07 | 显示全部楼层
http://blog.csdn.net/qq1124794084/article/details/78143718
Discuz!X 前台任意文件删除漏洞复现测试
发表于 2017-10-12 10:13:46 | 显示全部楼层
名花虽有主,我来松松土!
a
0 0
  @ME: 
发表于 2017-10-12 16:45:15 | 显示全部楼层
我第一次时很紧张,他一直要我温柔地放松,接着插入我身体,那里在流血,我痛得喊不出话来,这才明白……献血是这样的!
a
0 0
  @ME: 
发表于 2017-10-13 13:33:25 | 显示全部楼层
我是开玩笑的
a
0 0
  @ME: 
发表于 2017-10-14 08:00:00 | 显示全部楼层
在看完这帖子以后,我没有立即回复,因为我生怕我庸俗不堪的回复会玷污了这网上少有的帖子
a
0 0
  @ME: 
发表于 2017-10-14 13:57:09 | 显示全部楼层
我也不知道了~~你把我问蒙了 呵呵
您需要登录后才可以回帖 登录 | 注册

本版积分规则