Discuz! X3.4 附件無法刪除問題排查指引

老周部落

一. 問題背景：

在 Discuz! X3.4 Release 20221220 版本中引入了針對(duì)附件刪除接口的 CSRF 規(guī)避措施，由于手機(jī)版部分插件、模板以及部分 PC 插件自行實(shí)現(xiàn)了附件刪除接口調(diào)用，因此可能導(dǎo)致該部分插件、模板使用異常。
本排查指引將告知如何排查相關(guān)問題。

二. 模板無法刪除附件排查
1. 在 template 目錄下找到出現(xiàn)問題的模板文件夾，將文件夾下載到本地計(jì)算機(jī)，并做好備份。
2. 使用 EditPlus / Notepad++ 等工具對(duì)整個(gè)文件夾下的所有文件進(jìn)行搜索，搜索關(guān)鍵詞為 deleteattach 。
3. 如果可以找到 deleteattach，則參考以下示例代碼對(duì)文件進(jìn)行修改。
4. 修改完成后將文件夾上傳回服務(wù)器，在后臺(tái)更新緩存后再試。

例如修改之前的代碼：

1. url:'forum.php?mod=ajax&action=deleteattach&inajax=yes&aids[]=' + obj.attr('aid'),

復(fù)制代碼

修改后：

1. url:'forum.php?mod=ajax&action=deleteattach&inajax=yes&formhash={FORMHASH}&aids[]=' + obj.attr('aid'),

復(fù)制代碼

三. 插件無法刪除附件排查
1. 在 source/plugin 目錄下找到出現(xiàn)問題的插件文件夾，將文件夾下載到本地計(jì)算機(jī)，并做好備份。
2. 使用 EditPlus / Notepad++ 等工具對(duì)整個(gè)文件夾下的所有文件進(jìn)行搜索，搜索關(guān)鍵詞為 deleteattach 。
3. 如果可以找到 deleteattach，則參考以下示例代碼對(duì)文件進(jìn)行修改。
4. 修改完成后將文件夾上傳回服務(wù)器，在后臺(tái)更新緩存后再試。

例如修改之前的代碼：

1. $url = 'forum.php?mod=ajax&action=deleteattach&inajax=yes&aids[]='.$aid;

復(fù)制代碼

修改后：

1. $url = 'forum.php?mod=ajax&action=deleteattach&inajax=yes&formhash='.FORMHASH.'&aids[]='.$aid;

復(fù)制代碼

附錄：關(guān)閉接口校驗(yàn)
如果實(shí)在是無法排查到上述文件，又由于各種原因無法替換插件或者聯(lián)系插件作者進(jìn)行升級(jí)，可以采取以下方案強(qiáng)制修改代碼關(guān)閉校驗(yàn)。
關(guān)閉附件刪除接口安全校驗(yàn)可能導(dǎo)致部分惡意攻擊者在網(wǎng)站安插惡意代碼導(dǎo)致附件被刪除的風(fēng)險(xiǎn)，由此導(dǎo)致的安全風(fēng)險(xiǎn)由站點(diǎn)自行承擔(dān)。
回退老版本或選擇放棄升級(jí)新版本不會(huì)解除該接口的安全風(fēng)險(xiǎn)，反而由于其他漏洞未被正確修復(fù)給站點(diǎn)造成更大的安全風(fēng)險(xiǎn)。

1. 該文件位于 source/module/forum/forum_ajax.php ，請(qǐng)將文件下載到本地計(jì)算機(jī)，并做好備份。
2. 使用 EditPlus / Notepad++ 等工具對(duì)文件進(jìn)行搜索，搜索關(guān)鍵詞為 deleteattach 。
3. 找到下方所指示的代碼并按指引進(jìn)行修改。
4. 修改完成后將文件上傳回服務(wù)器，在后臺(tái)更新緩存后再試。

修改前：

1. if(isset($_GET['aids']) && isset($_GET['formhash']) && formhash() == $_GET['formhash']) {

復(fù)制代碼

修改后：

1. if(isset($_GET['aids'])) {

復(fù)制代碼

pcyi

X3.5能用嗎？