Discuz! X2.5远程代码执行漏洞
Discuz! X2.5远程代码执行漏洞
发布日期:2012-04-27
更新日期:2012-04-27
受影响系统:
Discuz! Discuz! X2.5Release20120407
描述:
--------------------------------------------------------------------------------
Discuz论坛软件系统亦称电子公告板(BBS)系统。
Discuz! X2.5 Release 20120407版中的preg_replace使用了e修饰符和双引号,在实现上存在远程命令执行漏洞,远程攻击者可利用此漏洞执行远程任意代码。要成功利用此漏洞需要目标启用seo功能。
<*来源:kobin97
链接:http://www.wooyun.org/bugs/wooyun-2012-06420
http://www.zhu.cm/discuz-x2-5-getwebshell-exp-xday.html
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Discuz!
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.discuz.net/
评论暂时关闭