热门搜索词

热门文章

关注知道创宇云防御

获取最新安全动态

避免积分商城插件sql注入漏洞 加速乐提示Discuz!用户升级版本

来源:知道创宇云防御 2013.03.19

今日,加速乐接到部分站长反馈称互联网上有人发布“Discuzv!63积分商城插件sql注入漏洞“,并宣称该漏洞可导致“网站“脱库”、“挂马”等严重后果”。知道创宇安全研究团队立即响应并分析该“漏洞”,分析发现该插件在变量处理上确实存在”漏洞“,但是对于最新版的Discuz!论坛来说,由于自身框架的有安全过滤机制,很难导致“脱库”、“挂马”等后果!所以我们认为对于最新版本Discuz!,该漏洞等级为“低危”。站长们不必“恐慌”。

目前知道创宇云监控中心,没有发现对Discus!最新版本进行成功攻击的样本。对于老版本的Discuz!来说,Discuz!的自身框架的有安全过滤机制存在缺陷,攻击者可以通过“内联注释”方式来绕过。所以对于老版本Discuz!该漏洞等级为“高危”。 

目前知道创宇加速乐、waf等产品的用户不受该漏洞影响,并建议将Discuz!升级到最新版本:www.comsenz.com/downloads/install/discuzx

 另外,我们建议在使用web应用程序的第三方插件时,要注意如下几点:


 1、尽量使用应用程序官方推荐或认证过的插件。
 2、注意应用程序官方的更新动态,及时升级为最新版本。对下架的插件,及时停止使用。
 3、推荐使用免费的云安全服务:加速乐(www.jiasule.com)给您的网站提供“更快、更专业”的安全防御。

售前支持

400-161-0866

联系企业微信客服