漏洞程序:Discuz
出现漏洞的最高版本:4.1.0
漏洞类型:XSS/CSS 跨站漏洞
官方网站:www.discuz.net
漏洞预警详述:
2006-5-3日凌晨,某著名站长论坛爆出Discuz4.1.0论坛程序出现跨站漏洞,目前官方正在修补的消息,官方随即发布了补丁,但是在此之间,包括电脑报、木蚂蚁等多个大型论坛已经被挂马。可谓五一长假最受关注的网络安全事件。
Discuz论坛允许使用手机访问论坛wap目录来访问论坛,用wap方式访问论坛时可以查看帖子和发送帖子、短消息等,但是其服务器端的处理过程并没有过滤wap方式发帖的标题,使得我们可以输入特殊构造的字符而引发跨站攻击。
附:官方关于此问题的解决方案http://www.discuz.net/thread-286076-1-1.html
4.0.0及之前版本补丁地址: http://download.discuz.net/patch/20060503_40.zip
4.1.0 补丁地址: http://download.discuz.net/patch/20060503_41.zip
