当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-070410

漏洞标题:DZ论坛X系列貌似存在的通用漏洞

相关厂商:Discuz!

漏洞作者: 路人甲

提交时间:2014-08-04 23:18

修复时间:2014-08-09 23:20

公开时间:2014-08-09 23:20

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-04: 细节已通知厂商并且等待厂商处理中
2014-08-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

用户发帖时可以刷论坛积分。仅限于回贴有积分奖励的论坛,不过大部分貌似都存在这种漏洞

详细说明:

发帖时保存为草稿,前台后台都不显示,然后进入草稿可以回帖,回帖有奖励的论坛就会获得积分,回帖完了以后直接发表就能获得积分。

1.png


2.png


3.png


4.png


漏洞证明:

发帖时保存为草稿,前台后台都不显示,然后进入草稿可以回帖,回帖有奖励的论坛就会获得积分,回帖完了以后直接发表就能获得积分。

1.png


2.png


3.png


4.png

修复方案:

你们比我懂。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-08-09 23:20

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2014-08-04 23:48 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    貌似存在

  2. 2014-08-04 23:59 | 卡卡 ( 普通白帽子 | Rank:447 漏洞数:52 | <script>alert('安全团队长期招人')</scrip...)

    前排出售瓜子花生啤酒

  3. 2014-08-05 00:18 | 从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)

    "貌似"这个词用的好

  4. 2014-08-05 00:41 | Xser ( 普通白帽子 | Rank:194 漏洞数:61 | JDSec)

    貌似牛逼

  5. 2014-08-05 05:42 | 风花雪月 ( 实习白帽子 | Rank:55 漏洞数:44 | []+[]|[]-[][][][][]%[][]|[]\[]%[][]|[]\[...)

    。。已玩烂!!

  6. 2014-08-05 08:56 | er0tic ( 普通白帽子 | Rank:115 漏洞数:23 | 某X站首席鉴黄师。本人QQ 285866931)

    貌似已玩烂

  7. 2014-08-05 08:56 | 夏殇 ( 路人 | Rank:30 漏洞数:21 | 不忘初心,方得始终。)

    "貌似"这个词用的好

  8. 2014-08-05 09:03 | 索马里的海贼 ( 普通白帽子 | Rank:254 漏洞数:24 | http://tieba.baidu.com/f?kw=WOW)

    腾讯最新版QQ客户端"貌似"存在远程溢出漏洞肯定有的不信你们自己逆一下,逆不出来是能力不行不是不存在LOL

  9. 2014-08-05 09:11 | 铁蛋火车侠 ( 普通白帽子 | Rank:156 漏洞数:31 | Q群371620085 技术交流群 有漂亮妹纸!)

    德玛西亚···

  10. 2014-08-05 10:30 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)

    放假了,小朋友都出来刷分了。

  11. 2014-08-05 10:53 | 索马里的海贼 ( 普通白帽子 | Rank:254 漏洞数:24 | http://tieba.baidu.com/f?kw=WOW)

    @Hmily 黑米哥最近很活跃啊。。每个DZ的洞必回

  12. 2014-08-05 11:31 | Coxxs ( 实习白帽子 | Rank:34 漏洞数:8 | 节操数:233 | ww)

    @索马里的海贼 DZ这个洞确实是存在的..还真不是貌似

  13. 2014-08-05 11:35 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)

    @索马里的海贼 因为吾爱中招了。

  14. 2014-08-05 11:59 | 索马里的海贼 ( 普通白帽子 | Rank:254 漏洞数:24 | http://tieba.baidu.com/f?kw=WOW)

    @Hmily 换PHPWIND吧。PW那代码不好审计漏洞少 哈哈

  15. 2014-08-06 17:21 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)

    官方还不来确认,等着公开被刷吗,这种必现的高危漏洞,discuz!通杀啊。

  16. 2014-08-07 06:30 | lulidong ( 路人 | Rank:0 漏洞数:1 | 爱找漏洞的新手白帽子)

    官方最近漏洞很多啊

  17. 2014-08-08 08:50 | Rebel ( 路人 | Rank:0 漏洞数:1 | 路人)

    膜拜各路大神。。。。

  18. 2014-08-11 11:18 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)

    我草,官方傻逼居然忽略了,这个漏洞随便刷!数据库查不到帖子内容,只能发现帖子数在涨,不知道官方现在修复没,之前没修复,360和52pojie已修复。

  19. 2014-08-11 11:19 | Hmily ( 路人 | 还没有发布任何漏洞 | 吾爱破解论坛)

    我靠,看错了,这啥玩意啊,明显和我报的那个不是一个bug,@Xser 你在斗我玩????审核漏洞的人有没有细看啊,这个楼主报的压根是可以查的,不算啥漏洞!

  20. 2014-08-12 15:55 | 路人丁丁 ( 路人 | Rank:5 漏洞数:2 | 杂学型大学狗)

    老实说很多DZ论坛草稿回帖不涨分…问题在少数论坛上。倒是我发现一个处于另一状态的帖子会涨分……

  21. 2014-08-21 10:29 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    刷钱刷分好方法?

  22. 2014-11-16 20:41 | yun联盟 ( 路人 | Rank:14 漏洞数:1 | 我就是一个小彩笔)

    @路人丁丁 什么状态??