全球主机交流论坛

标题: [2015.11.12] Discuz SSRF漏洞通告 [打印本页]

作者: WEE 时间: 2015-11-26 17:25
标题: [2015.11.12] Discuz SSRF漏洞通告
找不到修复方法啊~~~

[2015.11.12] Discuz SSRF漏洞通告
漏洞描述：Discuz X3.2 /source/module/forum/forum_ajax.php文件中的imageurl可被用户控制，虽然限制为图片后缀，但可轻易绕过，导致SSRF漏洞。
漏洞危害：利用漏洞可访问内网资源，内网扫描，甚至反弹shell(配合其他漏洞)
漏洞来源：百度云安全
影响版本：X3.2
漏洞等级：高危
修复建议：在当前厂商未提供升级或补丁的情况下，推荐使用百度云加速，目前百度云加速WAF防火墙已可以成功拦截。请继续关注云观测了解后续厂商修复情况。

作者: 月痕 时间: 2015-11-26 17:26
使用百度云加速，目前百度云加速WAF防火墙已可以成功拦截

作者: SKIDROW 时间: 2015-11-26 18:13
其实早就有了，11月才放出来……

作者: 呵呵 时间: 2015-11-26 20:43
使用百度云加速，目前百度云加速WAF防火墙已可以成功拦截

作者: 月の天使 时间: 2015-11-26 21:07
这漏洞也就用来查论坛原始IP比较有用，别的没什么用，如果想攻击一个上了CDN的论坛还是不错的

作者: mrxgs 时间: 2015-11-26 21:09
提示: 作者被禁止或删除内容自动屏蔽

作者: WEE 时间: 2015-11-27 13:48
不用百度云加速啊

欢迎光临全球主机交流论坛 (https://sunk.eu.org/)

Powered by Discuz! X3.4