Discuz!多版本,存储型XSS脚本漏洞(0day)

发布时间:2011-06-23

影响版本:
Discuz! Discuz! 7.x
Discuz! Discuz! 6.x

漏洞描述:
Discuz论坛软件系统亦称电子公告板(BBS)系统,它伴随社区BBS的流行而成为互联网最重要的应用之一,也逐渐成为网站核心竞争力的标志性体现。

Discuz多个版本在实现上存在跨站脚本攻击漏洞,远程攻击者可利用这些漏洞在用户系统中执行恶意脚本代码

安全建议:
一:厂商补丁
Discuz!
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

二:网上的修复方法:
1. 查找代码: function parseemail($email, $text) {
2. 在后面增加一行代码:
$text = str_replace('\"', '"', $text);

但不一定全面,建议对所有使用preg_replace加了e修正符的地方进行检查。