由于论坛在处理 Discuz! 代码时,没有严格过滤用户输入内容,可导致部分用户利用这一 BUG 发布恶意代码。
恶意代码会对论坛里使用 IE 浏览器的会员造成威胁,对 FireFox 以及其他浏览器用户无效。
Discuz! 5.5 0324
一
禁用 Discuz!代码
二
打开 include/discuzcode.func.php
找到
“/[align=([^[<]+?)]/i”,
“/[float=([^[<]+?)]/i”
修改为
“/[align=(left|center|right)]/i”,
“/[float=(left|right)]/i”
问题修补完成。
[font=expression(alert('XSS'))]xss[/font]