[2015.11.12] Discuz SSRF漏洞通告

WEE · 发表于 2015-11-26 17:25:40

找不到修复方法啊~~~

[2015.11.12] Discuz SSRF漏洞通告
漏洞描述：Discuz X3.2 /source/module/forum/forum_ajax.php文件中的imageurl可被用户控制，虽然限制为图片后缀，但可轻易绕过，导致SSRF漏洞。
漏洞危害：利用漏洞可访问内网资源，内网扫描，甚至反弹shell(配合其他漏洞)
漏洞来源：百度云安全
影响版本：X3.2
漏洞等级：高危
修复建议：在当前厂商未提供升级或补丁的情况下，推荐使用百度云加速，目前百度云加速WAF防火墙已可以成功拦截。请继续关注云观测了解后续厂商修复情况。

月痕 · 发表于 2015-11-26 17:26:09

使用百度云加速，目前百度云加速WAF防火墙已可以成功拦截

SKIDROW · 发表于 2015-11-26 18:13:16

其实早就有了，11月才放出来……

呵呵 · 发表于 2015-11-26 20:43:27

使用百度云加速，目前百度云加速WAF防火墙已可以成功拦截

月の天使 · 发表于 2015-11-26 21:07:31

这漏洞也就用来查论坛原始IP比较有用，别的没什么用，如果想攻击一个上了CDN的论坛还是不错的

mrxgs · 发表于 2015-11-26 21:09:28

提示: 作者被禁止或删除内容自动屏蔽

WEE · 发表于 2015-11-27 13:48:53

不用百度云加速啊

		自动登录	找回密码
密码			注册

mrxgs mrxgs 当前离线积分 3217	发表于 2015-11-26 21:09:28 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
mrxgs mrxgs 当前离线积分 3217
	回复支持反对举报