用QQ帐号登录应用中心QQ登录
Discuz! 应用中心
如果您还没有 Discuz! 搭建的网站,可为您免费代安装 Discuz!,点击了解   如需其他服务,咨询QQ:1453650
discuz2021年6月漏洞专修1.0.0封面

2021年6月漏洞专修1.0.0

收藏 分享 投诉
免费
  • 统  计:1476 次下载
  • 更新日期:2021-06-30
  • 适配编码:GBK UTF8SC UTF8TC BIG5 
  • 兼容版本:X3.2 X3.3 X3.4 X3.5 
  • PHP版本:5.3 ~ 5.6  7.0 ~ 7.4  8.0 
  • 标签分类:小工具 
  • 移动属性:该版本未适配手机版(触屏版)

安装应用 免责声明授权协议

本漏洞及插件的详细情况及常见问答,请点击这里了解


https://www.dismall.com/thread-9658-1-1.html
如有疑问可跟帖询问



尊敬的 Discuz! X 用户,您好!

近日,Discuz!安全中心监测到一个UCenter的高风险安全问题,可能会导致部分站点无法正确统计登录失败次数,导致站点存在被密码爆破的风险。通过特殊配置或设计的程序可以通过无限次数破解密码的方式非法控制账号。

漏洞详情
在 Discuz! X3.2 Release 20141225 版本以及同期发布的 UCenter 软件中,开发了一个部分生效的 “允许用户登录失败次数” 功能,但此功能未完整开发之后仅仅注释了界面上的功能项,后续版本也没有继续开发,导致部分站点的 login_failedtime 在 UCenter 后台基本设置处保存时被设置成 0 ,而由于不同功能项对 0 的处理方式有差异导致系统内对此情况的处理手段是不记录登录失败次数而在提示信息中固定返回 4 次,导致漏洞发生,所以如果你的网站输错密码不管多多少次都提示还可以尝试4次,那么请立即更新修复。

Discuz! X安装时,默认不会触发这个漏洞,只有当管理员进入UCenter,设置保存UCenter设置时,才会导致 login_failedtime  被设置为0,从而触发漏洞。

风险等级


影响版本
Discuz! X 2014年12月25日 至 2021年6月28日 之间的所有版本(X3.2、X3.3、X3.4、X3.5)
单独使用UCenter的用户请参照上述日期比对文件

您可以到应用中心下载“2021年6月新漏洞专项检测修复工具”,查看自己的站点是否已受到了影响。

安全版本
2021-06-29 及以后的 Discuz! X 和 UCenter

修复建议

1. 目前官方已修复该漏洞,建议受影响的用户尽快升级至 *** 版本:https://gitee.com/Discuz/DiscuzX/attach_files
2. 无法升级 *** 版本的用户,可以先运行“2021年6月新漏洞专项检测修复工具”修复出错的数据,并参考 https://gitee.com/Discuz/DiscuzX/pulls/1092 修改站点文件。
【备注】:建议您在升级前做好数据备份工作,测试并评估业务运行状况,避免出现意外

更详细的内容请阅读 Discuz! X 安全公告 进行了解。

discuz2021年6月漏洞专修截图1

Discuz!交流社区 | Discuz!程序下载 | Discuz!使用教程 | 我是Discuz!开发者 | 我是Discuz!分销商

Copyright ©2024Dismall.comAll Rights Reserved. 皖ICP备16010102号-4 增值电信业务经营许可证:皖B2-20200047

违法网站请勿向我司工作人员及应用开发者发起任何形式的服务请求,严禁使用Discuz!应用中心提供的应用从事任何非法活动

应用中心客服80056365 应用中心客服微信扫一扫 有偿服务客服1453650 有偿服务客服微信扫一扫

  应用中心操作、授权恢复等使用问题,联系应用中心客服|Discuz! 安装、升级、问题排查、定制,联系有偿服务客服

返回顶部