【高危】- Discuz! X系列全版本后台SQL注入漏洞(CVE-2019-6660)
■ 漏洞描述
Discuz!X全版本存在SQL注入漏洞。该漏洞产生的原因是在Discuz源码sourceadmincpadmincp_setting.php在处理某参数时未进行完全过滤,导致出现二次注入,Discuz!X全版本中的admincp_setting.php文件中某参数存在SQL注入漏洞。
攻击者可以利用该漏洞,通过SQL注入攻击获取服务器的最高权限。
■ 影响范围
Discuz! X < X3.4 R20191201 UTF-8
■ 漏洞检测
检测方法:
1、查看版本
■ 漏洞修复
目前厂商暂未发布补丁,官网地址:https://www.discuz.net/forum.php
■ 临时修复
1、加入waf。
2、管理台限制外网访问。
3、官方跟新补丁后,第一时间更新补丁。
■ 漏洞详情
https://mp.weixin.qq.com/s/ajf_MpH5-MHm9yfd0-aHIw
Discuz!X全版本存在SQL注入漏洞。该漏洞产生的原因是在Discuz源码sourceadmincpadmincp_setting.php在处理某参数时未进行完全过滤,导致出现二次注入,Discuz!X全版本中的admincp_setting.php文件中某参数存在SQL注入漏洞。
攻击者可以利用该漏洞,通过SQL注入攻击获取服务器的最高权限。
■ 影响范围
Discuz! X < X3.4 R20191201 UTF-8
■ 漏洞检测
检测方法:
1、查看版本
■ 漏洞修复
目前厂商暂未发布补丁,官网地址:https://www.discuz.net/forum.php
■ 临时修复
1、加入waf。
2、管理台限制外网访问。
3、官方跟新补丁后,第一时间更新补丁。
■ 漏洞详情
https://mp.weixin.qq.com/s/ajf_MpH5-MHm9yfd0-aHIw