“Discuz! X 系列产品升级/转换向导”程序存在严重的安全漏洞

dly · 发表于 2013-12-16 14:15:01

近期有多个站长称Discuz! X论坛被黑，疑似Discuz!"0day"漏洞攻击。经安全联盟站长平台确认Discuz! X程序自带的“Discuz! X 系列产品升级/转换向导”程序存在严重的安全漏洞，当站长错误的安装使用并没有及时删除该程序时，攻击者可通过该程序直接远程执行任意代码，植入“网站木马”，导致网站被“脱库”、“挂马”并沦为“肉鸡”。Discuz! X的所有版本可能受该漏洞影响，现已确认多个大型论坛受该漏洞影响。

临时解决方案（详细见下），强烈建议使用Discuz! X的站长们启用。

Discuz! X是康盛公司（Comsenz）推出的一个以社区为基础的专业建站平台，让论坛（BBS）、社交网络（SNS）、门户（Portal）、群组（Group）、开放平台（Open Platform）应用充分融合于一体，帮助网站实现一站式服务。目前是国内引用最为广泛的建站工具，同时也是黑客攻击的主要目标。

临时解决方案:

查找并移除“Discuz! X 系列产品升级/转换向导”程序文件的目录。默认在目录/utility/下（注意如果你使用时修改了目录名，请删除对应的目录）/utility/的目录结果如下图：

如果你是一位认真负责的站长，不管是产品升级/转换向导目录还是按照安装文件install目录及其他一些修复数据库操作的文件，再使用完后都需要及时的删除，否则都可能导致相应的安全问题。

在此感谢河津588站长提供的安全漏洞信息。

“Discuz! X 系列产品升级/转换 向导”程序存在严重的安全漏洞

相关帖子

“Discuz! X 系列产品升级/转换向导”程序存在严重的安全漏洞