设为首页收藏本站
切换到宽版

全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

全球主机交流论坛»论坛 主机综合交流 美国VPS综合讨论 [2015.11.12] Discuz SSRF漏洞通告
IP归属甄别会员请立即修改密码
返回列表 发新帖
查看: 2033|回复: 6
打印 上一主题 下一主题

[2015.11.12] Discuz SSRF漏洞通告

[复制链接]
WEE
跳转到指定楼层
1#
发表于 2015-11-26 17:25:40 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
找不到修复方法啊~~~

[2015.11.12] Discuz SSRF漏洞通告
漏洞描述:Discuz X3.2 /source/module/forum/forum_ajax.php文件中的imageurl可被用户控制,虽然限制为图片后缀,但可轻易绕过,导致SSRF漏洞。
漏洞危害:利用漏洞可访问内网资源,内网扫描,甚至反弹shell(配合其他漏洞)
漏洞来源:百度云安全
影响版本:X3.2
漏洞等级:高危
修复建议:在当前厂商未提供升级或补丁的情况下,推荐使用百度云加速,目前百度云加速WAF防火墙已可以成功拦截。请继续关注云观测了解后续厂商修复情况。

回复

举报

月痕
2#
发表于 2015-11-26 17:26:09 | 只看该作者
使用百度云加速,目前百度云加速WAF防火墙已可以成功拦截
回复 支持 反对

举报

SKIDROW
3#
发表于 2015-11-26 18:13:16 | 只看该作者
其实早就有了,11月才放出来……
回复 支持 反对

举报

呵呵
4#
发表于 2015-11-26 20:43:27 | 只看该作者
使用百度云加速,目前百度云加速WAF防火墙已可以成功拦截
回复 支持 反对

举报

月の天使
5#
发表于 2015-11-26 21:07:31 | 只看该作者
这漏洞也就用来查论坛原始IP比较有用,别的没什么用,如果想攻击一个上了CDN的论坛还是不错的
回复 支持 反对

举报

mrxgs
6#
发表于 2015-11-26 21:09:28 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

举报

WEE
7#
 楼主| 发表于 2015-11-27 13:48:53 | 只看该作者
不用百度云加速啊
回复 支持 反对

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2025-10-19 15:29 , Processed in 0.101451 second(s), 9 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表