尊敬的 Discuz! X 用戶,您好!
近日,Discuz!安全中心監測到一個UCenter的高風險安全問題,可能會導致部分站點無法正確統計登錄失敗次數,導致站點存在被密碼爆破的風險。通過特殊配置或設計的程序可以通過無限次數破解密碼的方式非法控制賬號。
漏洞詳情
在 Discuz! X3.2 Release 20141225 版本以及同期發布的 UCenter 軟件中,開發了一個部分生效的 “允許用戶登錄失敗次數” 功能,但此功能未完整開發之后僅僅注釋了界面上的功能項,后續版本也沒有繼續開發,導致部分站點的 login_failedtime 在 UCenter 后臺基本設置處保存時被設置成 0 ,而由于不同功能項對 0 的處理方式有差異導致系統內對此情況的處理手段是不記錄登錄失敗次數而在提示信息中固定返回 4 次,導致漏洞發生,所以如果你的網站輸錯密碼不管多多少次都提示還可以嘗試4次,那么請立即更新修復。
Discuz! X安裝時,默認不會觸發這個漏洞,只有當管理員進入UCenter,設置保存UCenter設置時,才會導致 login_failedtime 被設置為0,從而觸發漏洞。
風險等級
高
影響版本
Discuz! X 2014年12月25日 至 2021年6月28日 之間的所有版本(X3.2、X3.3、X3.4、X3.5) 單獨使用UCenter的用戶請參照上述日期比對文件
您可以到應用中心下載“2021年6月新漏洞專項檢測修復工具”,查看自己的站點是否已受到了影響。
安全版本
2021-06-29 及以后的 Discuz! X 和 UCenter
修復建議
1. 目前官方已修復該漏洞,建議受影響的用戶盡快升級至最新版本:https://gitee.com/Discuz/DiscuzX/attach_files
2. 無法升級最新版本的用戶,可以先運行“2021年6月新漏洞專項檢測修復工具”修復出錯的數據,并參考 https://gitee.com/Discuz/DiscuzX/pulls/1092 修改站點文件。
【備注】:建議您在升級前做好數據備份工作,測試并評估業務運行狀況,避免出現意外
更詳細的內容請閱讀下方的 Discuz! X 安全公告 進行了解。
| 
關注公眾號
有償服務微信
有償服務QQ
皖公網安備34010302002376號 )|網站地圖|
發表于 2021-6-30 08:56:08
發表于 2021-6-30 13:52:27
