Discuz!多版本,存储型XSS脚本漏洞(0day)

发布时间:2011-06-23

影响版本:
Discuz! Discuz! 7.x
Discuz! Discuz! 6.x

漏洞描述:
Discuz论坛软件系统亦称电子公告板（BBS）系统，它伴随社区BBS的流行而成为互联网最重要的应用之一，也逐渐成为网站核心竞争力的标志性体现。

Discuz多个版本在实现上存在跨站脚本攻击漏洞，远程攻击者可利用这些漏洞在用户系统中执行恶意脚本代码

安全建议:
一:厂商补丁
Discuz!
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

二:网上的修复方法:
1. 查找代码: function parseemail($email, $text) {
2. 在后面增加一行代码:
$text = str_replace('\"', '"', $text);

但不一定全面，建议对所有使用preg_replace加了e修正符的地方进行检查。

标签：0day , Discuz , XSS 原文连接：Discuz!多版本,存储型XSS脚本漏洞(0day) 所有媒体，可在保留署名、原文连接的情况下转载，若非则不得使用我方内容。

植物大战僵尸开发商10亿求收购 mysql 注入利用工具Token Tool