[漏洞预警]Discuz ML! V3.X 远程代码执行漏洞

漏洞描述

Discuz ML! (Discuz CMS多国语言版)V3.X存在远程代码执行漏洞,攻击者可通过精心构建的http请求对目标服务器执行任意命令,从而获得服务器权限。

影响范围

Discuz!ML v.3.4
Discuz!ML v.3.2
Discuz!ML v.3.3
以上版本均由codersclub.org发行

漏洞定位

漏洞存在于如下php文件

漏洞文件
漏洞文件
漏洞文件

漏洞验证

由漏洞php文件可知,漏洞触发点为cookie中某参数


漏洞验证

资产管理员可通过版本号自查是否含有该漏洞

修复建议

目前官方暂无补丁,请密切关注官网

参考链接

米斯特安全团队——漏洞预警 | Discuz ML! V3.X 代码注入漏洞:
https://mp.weixin.qq.com/s?__biz=MzU2NDc2NDYwMA==&mid=2247483932&idx=1&sn=40a497f405cb7f0e8a48ef292d093ebe&chksm=fc4748cbcb30c1dd191021db3dc7d5b192ccfa20cd9be601941a30688e1e7a850f56dff8f601&scene=0&xtrack=1#rd
Discuz ML! 发行官网:
codersclub.org

鸣谢

asiainfo-sec Sommous

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。