Discuz! X 高危安全漏洞，請各位站長盡快修復

dashen

尊敬的 Discuz! X 用戶，您好！

近日，Discuz! 安全中心發現一個高風險安全問題，**本安全問題將導致部分站點存在安全隱患**。通過特殊配置或設計的請求可以通過特定方式非法控制賬號。

**在此希望更多的安全人員加入到維護 Discuz! X 程序安全的工作中來。**

漏洞詳情

技術細節詳見：https://paper.seebug.org/1144/

安全補丁詳見: https://gitee.com/Discuz/DiscuzX/pulls/1315

風險等級

高

影響版本
Discuz! X3.1 至 Discuz! X3.4 Release 20211022

安全版本
Discuz! X3.4 Release 20211124

修復建議

1. 目前官方已修復該漏洞，建議受影響的用戶盡快升級至最新版本：https://gitee.com/Discuz/DiscuzX/attach_files
2. 無法升級最新版本的用戶，可以參考 https://gitee.com/Discuz/DiscuzX/pulls/1315 修改站點文件。

【備注】：建議您在升級前做好數據備份工作，測試并評估業務運行狀況，避免出現意外

更詳細的內容請閱讀下方的 Discuz! X 安全公告 進行了解。

dashen

附件1：安全公告全文

Discuz! X 安全公告

【2021】第 2 號

2021 年 12 月 12 日

問題簡述

近日，Discuz! 安全中心發現一個高風險安全問題，**本安全問題將導致部分站點存在安全隱患**。通過特殊配置或設計的請求可以通過特定方式非法控制賬號。

請各位各位站長、站點管理運維人員**盡快推動所涉及軟件的版本更新**，如無法升級也請參考相關指導對軟件進行修補，保障站點安全。

**由于本安全問題給您造成的不便我們深感歉意，并感謝各位站長、站點管理運維人員對我們的理解與支持。**

**也希望更多的安全人員加入到維護 Discuz! X 程序安全的工作中來。**

受影響的軟件版本

Discuz! X 軟件

Discuz! X3.1 至 Discuz! X3.4 Release 20211022

Discuz! X3.4 截至 2021 年 11 月 24 日的全部每日構建版本和開發版本

Discuz! X3.5 截至 2021 年 11 月 24 日的全部每日構建版本和開發版本

**上述軟件中只有 Discuz! X3.4 Release 20211022 處于非 EOL 狀態，其他涉及的 Release 版本均已 EOL ，不再進行維護。**

常見問題解答

Q: 對于未涉及到的軟件或版本是否應該繼續運行？

A: 未涉及到的軟件或版本（包括但不限于 Discuz! X / Discuz! / Discuz! NT / UCenter Home / X-Space / SupeSite 全系，**但不含 Discuz! Q**）**軟件均已處于 EOL 狀態，不再進行維護，且近期已發現多個涉及相關軟件的中低風險安全問題并已在最新版本給予修復**。同時 Discuz! X3.4 近期也提供了大量新功能改進、用戶體驗提升、安全性提升、 BUG 修復等，包括但不限于應對內容安全相關問題進行的內容重新審核功能以及內容安全功能兜底提升，應對 FLASH 停止維護所提供的 HTML5 附件上傳、HTML5 多媒體播放功能，以及對 HTTPS 支持等功能進行優化等。并且 Discuz! X3.4 具有較好的環境兼容性，可以同時支持 PHP 5.3 - PHP 7.4 版本以及 MySQL 5.x - 8.0 版本，兼容絕大多數原 X3 之后發布的插件和模板。**因此如您暫未有停止運營計劃，建議您安排版本升級，以最大限度保障站點安全以及提高用戶體驗。**

Q: 對于此安全漏洞建議如何處理？

A: 本安全漏洞涉及 Discuz! X3.1 至 Discuz! X3.4 Release 20211022 版本，**相關站點存在被盜取用戶賬號的風險**，需要盡快升級解決問題。在此建議您**升級到 Discuz! X3.4 Release 20211124**。相關軟件可以從 https://gitee.com/Discuz/DiscuzX 下載。

Q: 如何進行標準升級操作？

A: 如您使用的是 Discuz! X3.1 或更高版本，請**使用 Discuz! X3.4 Release 20211124 對應語言對應編碼的軟件覆蓋您當前使用的軟件**。

Q: 如果無法進行版本升級該如何處理？

A: 如站點是涉及到的軟件版本且無法進行版本升級，也請按照 https://gitee.com/Discuz/DiscuzX/pulls/1315 以及其他相關代碼修改對站點進行修復。另外也可以參考其他安全相關 commit 對其他安全問題進行加固。

技術細節

技術細節詳見：https://paper.seebug.org/1144/

安全補丁詳見: https://gitee.com/Discuz/DiscuzX/pulls/1315

安全提示

我們強烈建議您使用仍在相關軟件開發團隊支持期內的操作系統、 Web 服務器、 PHP 、數據庫、內存緩存等軟件，超出支持期的軟件可能會對您的站點帶來未知的安全隱患。

Discuz! X 以及 UCenter 軟件當前 Release 版本發布規則為當前大版本下有新的 Release 版本發布時，之前的 Release 版本將自動處于 EOL 狀態，不再進行維護，請站點在新版本發布后主動更新到新的 Release 版本。

請各位站長、站點管理運維人員以及插件、模板開發者保持對 Discuz! X 官方 Git 倉庫 https://gitee.com/Discuz/DiscuzX 的關注，以便在安全漏洞發生時可進行修補，讓自己的站點時刻保持最安全的狀態！

Discuz! X 安全中心

2021 年 12 月 12 日

3050075638

還是得及時升級呀，不升級應用中心都不給我用

螞蟻仔

支持一下。不錯。

qq546456580

感謝分享

qq546456580

感謝分享

qwexiamen

謝謝分享

服務器租用_迅恒老楊?

好的 收到