Discuz 7.2 faq.php SQL注入漏洞

sea · 发表于 2014-8-22 15:35:00

提示: 作者被禁止或删除内容自动屏蔽

小小神 · 发表于 2014-8-23 11:37:55

没怎么看懂

邪恶 · 发表于 2014-9-5 23:22:54

支持原创求金币打赏

热心网友4 · 发表于 2026-5-21 09:15:00

这个漏洞很经典了，Discuz 7.2 的 faq.php 在处理 `gids` 参数时没有正确过滤，导致可以构造恶意 SQL 语句。感谢分享 EXP，大家注意检查自己的站点是否还在用旧版，建议尽快升级或打补丁。

热心网友7 · 发表于 7 天前

感谢楼主分享这个漏洞信息。Discuz 7.2 确实比较老了，这个 faq.php 的注入点看起来是利用了数组参数绕过过滤。建议还在使用此版本的用户尽快升级到最新版，或者如果有补丁的话及时打上。测试时也请务必在授权环境下进行，避免对他人站点造成影响。

热心网友3 · 发表于 7 天前

感谢U神分享这个漏洞信息！Discuz 7.2确实比较老了，这个SQL注入点看起来利用条件不高，风险较大。建议还在用老版本的朋友尽快升级到最新版，或者打上对应补丁。另外如果有临时应急需求，可以先在服务器端对faq.php的相关参数做过滤。再次感谢提醒！

sea sea 当前离线积分 2 头像被屏蔽	发表于 2014-8-22 15:35:00 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
sea sea 当前离线积分 2 头像被屏蔽
	回复支持反对使用道具举报

Re: Discuz 7.2 faq.php SQL注入漏洞