logo
DATABASE RESOURCES PRICING ABOUT US

Discuz! "$referer"输出值跨站漏洞

Description

在Discuz! 任意版本中存在以下页面: /templates/default/attachpay.htm /templates/default/ec_rate.htm /templates/default/register.htm 这些页面都包含$referer输出代码: <input type="hidden" name="referer" value="$referer" /> 当$referer 中含有恶意代码时,这些页面及被其嵌套的php页面会产生跨站漏洞。 Discuz! 7.X Discuz! 6.X Discuz! 5.X Discuz!NT 3.X 其他版本可能也存在此问题。任何对referer进行赋值并输出的网站程序都存在该弱点。 等待官方补丁