請選擇 進入手機版 | 繼續訪問電腦版

社群整合登入商業服務網

 找回密碼
 成為會員
搜索
查看: 1374|回復: 0

[安全漏洞-建議修復] Discuz X2.5~X3.4 一般會員可以自行刪除帳號

[複製鏈接]
已整合(綁定)Facebook帳號登入已整合(綁定)Google+帳號登入已整合(綁定)Twitter帳號登入已整合(綁定)Plurk帳號登入已整合(綁定)Yahoo帳號登入已整合(綁定)Windows Live帳號登入已整合(綁定)新浪微博帳號登入已整合(綁定)QQ帳號登入已整合(綁定)LINE帳號登入尚未整合(綁定)Instagram帳號登入已整合(綁定)LinkedIn帳號登入已整合(綁定)GitHub帳號登入
發表於 2018-8-7 05:40:57 | 顯示全部樓層 |閱讀模式
說明:此漏洞由網友[Coxxs]發現,不過此漏洞僅可刪除自己的帳號,受影響的Discuz版本:X2.5、X3.0、X3.1、X3.2、X3.3、X3.4。
原理:首先必需先登入會員,利用Discuz的頭像上傳Flash檔案來取得簽名驗證,再透過uc_server網址送出delete命令,即可進行刪除目前已登入的帳號。
建議:網友[Coxxs]有提供JS代碼能快速測試,站長們如果要測試請使用普通會員帳號,目前Discuz官方尚未修復此漏洞,可參考本站修復方式。
來源:https://twitter.com/coxxs/status/960462809615052801

以下提供本站修復方式:

回復

舉報

您需要登錄後才可以回帖 登錄 | 成為會員 |

本版積分規則

手機版|社群整合登入商業服務網

GMT+8, 2019-11-20 14:14

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表