发布日期：2014-08-22
更新日期：2014-08-22

受影响系统：

Discuz! Discuz! 7.x
Discuz! Discuz! 6.x
Discuz! Discuz! 5.x

不受影响系统：

Discuz! Discuz! > 7.x

描述：

---

Discuz!是用PHP开发的互联网论坛软件。

Discuz! 5.x、6.x、7.x版本某编辑功能对于用户提交的数据存在拼接问题，导致用户输入的数据可以直接拼接进入代码和SQL语句中，从而造成SQL注入漏洞以及代码执行漏洞。

在服务端某默认功能开启的前提下，并且拥有一个普通用户账号，便可利用此漏洞。该漏洞影响目前Discuz! 7.x及其之前版本，官方已发布声明不在更新这些版本了，所以这个问题将会一直存在。这个问题限制条件易于突破，影响范围比较广泛，漏洞触发的话可以获取管理员密码，进一步获取webshell，危害很大。

<*来源：′ 雨。
  *>

建议：

---

厂商补丁：

Discuz!
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.discuz.net/

浏览次数：3068
严重程度：0（网友投票）