【Web漏洞响应】Discuz 6.X确实老了,再现SQL注入漏洞一枚
漏洞概述
本周,覆盖全球上千万用户的知名系统,曾被封为论坛软件经典的Discuz! 6.x版本再次爆出SQL注入高危漏洞,远程攻击者可在装有Discuz! 6.x 版本的服务器端,通过一些简单的漏洞利用操作,获取目标服务器敏感信息及非法数据库操作等一系列严重的破坏性活动。近段时间Discuz! 6.x频现安全漏洞,这无疑对于崇尚Discuz! 6.x稳定、实用的忠实拥护者,多年来坚守的 “discuz 6.x系列是经典,7.x超越不了” 这一观念,再度从安全性角度遭受质疑。
成因分析
绿盟科技依托于多年来在攻防领域的技术积累,第一时间分析出该漏洞成因:Discuz 6.x某页面在处理用户提交数据时,没有做好相应的过滤处理,导致攻击者可以构造恶意语句触发SQL注入行为,让攻击者获取数据库中的相关数据。
如何核查是否存在该漏洞
专攻于Web脆弱性安全评估的Web应用漏洞扫描系统(简称WVSS产品),已在漏洞爆出后的第一时间内完美实现此Web漏洞的检测能力,可通过更新插件库进行快、准、全的扫描发现。
推荐用户应急措施
鉴于Discuz应用范围广,覆盖用户多的特点,且考虑到目前Discuz还未提供补丁和升级程序,绿盟科技建议装有其系统的服务器用户,在关注其厂商主页以获取最新补丁或者更新版本至7.x的同时,也可以联系绿盟科技尝试本地化完美的安全解决方案。
Discuz官方网站:https://www.discuz.com/
备注:
Crossday Discuz! Board 论坛系统(简称 Discuz! 论坛)是一个采用 PHP 和 MySQL 等其他多种数据库构建的高效论坛解决方案。Discuz! 在代码质量,运行效率,负载能力,安全等级,功能可操控性和权限严密性等方面都在广大用户中有良好的口碑。
评论