Discuz! X 曝出高风险安全漏洞,请各位站长尽快修复

近日,Discuz! 安全中心监测到一个UCenter的高风险安全问题,它会导致部分站点无法正确统计登录失败次数,通过特殊配置或设计的程序可以通过无限次数破解密码的方式非法控制账号,以致站点存在被密码爆破的风险。Discuz! 提醒广大站长尽快升级 Discuz! X 到最新版,以修复此安全漏洞。

漏洞详情

在 Discuz! X3.2 Release 20141225 版本以及同期发布的 UCenter 软件中,开发了一个部分生效的 “允许用户登录失败次数” 功能,但此功能未完整开发之后仅仅注释了界面上的功能项,后续版本也没有继续开发,导致部分站点的 login_failedtime 在 UCenter 后台基本设置处保存时被设置成 0 ,而由于不同功能项对 0 的处理方式有差异导致系统内对此情况的处理手段是不记录登录失败次数而在提示信息中固定返回 4 次,导致漏洞发生,所以如果你的网站输错密码不管多多少次都提示还可以尝试4次,那么请立即更新修复。

Discuz! X安装时,默认不会触发这个漏洞,只有当管理员进入UCenter,设置保存UCenter设置时,才会导致 login_failedtime 被设置为0,从而触发漏洞。

影响版本

Discuz! X 2014年12月25日 至 2021年6月28日 之间的所有版本(X3.2、X3.3、X3.4、X3.5),单独使用UCenter的用户请参照上述日期比对文件。

您可以到应用中心下载“2021年6月新漏洞专项检测修复工具”,查看自己的站点是否已受到了影响。

修复建议

1. 目前官方已修复该漏洞,建议受影响的用户尽快升级至最新版本 Discuz!  X3.4 20210630 :https://gitee.com/Discuz/DiscuzX/attach_files
2. 无法升级最新版本的用户,可以先运行“2021年6月新漏洞专项检测修复工具”修复出错的数据,并参考 https://gitee.com/Discuz/DiscuzX/pulls/1092 修改站点文件。

【备注】:建议您在升级前做好数据备份工作,测试并评估业务运行状况,避免出现意外。

升级方法

1、Discuz! X3.4全新安装教程 :https://www.dismall.com/thread-77-1-1.html

2、Discuz!  X3.4 自身升级:https://www.dismall.com/thread-9663-1-1.html

直接覆盖文件即可,建议用增量补丁包,升级到 X3.4 20210630。

3、补丁包升级方法:

1. 根据原有的语言版本下载升级包;

2. 解压缩,将目录中的文件上传至服务器,覆盖旧文件(操作前建议备份网站);

3. 使用创始人身份进入后台更新缓存。

生成海报
点赞 3

相关推荐

如何下载纯正干净的 Windows iso 镜像文件?

关于 Windows 的更新升级,我们之前曾推荐从 UUP dump 网站下载升级包,便捷地在本地进行安装。今天我们要推荐的这个网站更厉害,它提供了纯正干净的 Windows iso 镜像文件以及微软系软件下载。 https://tb.rg-adguard.net/public.php 下载纯正干净的 Windows ISO 镜像文件以及微软系软件,如 Micrsoft Office ,记住这个网 ...

你名下有几张电话卡?快用工信部“一证通查”查一查吧

为“防范诈骗,保护你我”,由工信部指导,中国信通院、中国电信、中国移动、中国联通共同推出的公益性查询服务:全国移动电话卡 "一证通查" ,今日正式上线,可以免费为用户提供本人名下电话卡数量。 全国移动电话卡“一证通查”:https://getsimnum.caict.ac.cn/ 全国移动电话卡 "一证通查" 主要面向中国境内移动电话用户,输 ...

火币网清退币币与OTC交易,请中国大陆用户尽快提币或处置资产

2021年9月24日,中国人民银行等十部门发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》,全面禁止与虚拟货币结算和提供交易者信息有关的服务。从事非法金融活动将被追究刑事责任。境外虚拟货币交易所通过互联网向中国境内居民提供服务同样属于被禁行列,相关部门将强化对与之相关的一切行为的监控。 近日,国内著名 ...

QQ 邮箱收不到 Facebook 安全验证码怎么办?

昨天有位朋友向我求救,她的 Facebook 帐户被锁定了,按系统提示的解锁步骤操作时,卡在了“输入安全验证码”这一环节。因为他的 QQ 邮箱根本没收到 Facebook 发送的安全验证码。 她按“重新发送验证码”按钮都十几次了,楞是没收到,她真的怀疑 Facebook 根本没发出来。 看到网上有很多朋友遇到过相同问题,都是集中在 QQ 邮箱 ...

微信扫一扫

微信扫一扫

微信扫一扫,分享到朋友圈

Discuz! X 曝出高风险安全漏洞,请各位站长尽快修复