Discuz未明存储型跨站脚本漏洞

漏洞起因
跨站脚本错误
危险等级

影响系统
Discuz! X2.0
Discuz! X2.5

不受影响系统

危害
远程攻击者可以利用漏洞获得敏感信息或劫持用户会话。

攻击所需条件
攻击者必须访问Discuz!。

漏洞信息
Discuz!是国内流行的论坛程序。
Discuz!社区系统存在存储型XSS漏洞,经测试该漏洞影响X2.0及X2.5等通用版本,该漏洞是由discuz 程序积分转账功能引起的。

测试方法

厂商解决方案
用户可以暂时通过后台暂停使用积分转账功能暂时应急解决该问题(进入后台–用户管理–用户组点击每个等级的详情,在允许积分转账那选否,确认即可。)

漏洞提供者
163微安全负责人“疯子”