Discuz! Cookie数据处理远程SQL注入漏洞

发布日期：2005-08-22
更新日期：2005-08-22

受影响系统：

Discuz! Discuz! 2.5F

描述：

---

Discuz!是一款华人地区非常流行的Web论坛程序。

Discuz!在处理Cookie数据里存在漏洞，远程攻击可能利用此漏洞对服务程序执行SQL注入攻击，非授权获取论坛的管理员权限。

Discuz!对来自Cookie的认证数据未做充分检查就用来构造SQL语句，导致攻击者可以通过畸形的Cookie数据实现对数据库的非授权操作，欺骗服务器程序以管理员用户登录论坛。

<*链接：http://www.xker.com/article/articleview/2005-2-3/article_view_511.htm
*>

建议：

---

厂商补丁：

Discuz!
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.discuz.net/

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!