【漏洞通告】Discuz 代码执行漏洞

0x01 漏洞信息

漏洞名称：Discuz 代码执行漏洞

漏洞编号：无

漏洞等级：高

披漏时间：2023年6月13日

0x02 漏洞描述

Crossday Discuz! Board(简称 Discuz!)是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。由于php5.3.0版本里php.ini的设置里request_order默认值为GP，导致$_REQUEST中不再包含$_COOKIE，通过在Cookie中传入$GLOBALS来覆盖全局变量，造成代码执行漏洞。

0x03 漏洞状态

脆弱组件覆盖面	利用门槛	POC工具	EXP工具
广	低	未公开	未公开

0x04 影响版本

Discuz7.0、Discuz 6.0

0x05 漏洞排查

用户尽快排查所有应用系统Discuz应用版本是否为7.0、6.0。若存在应用使用，极大可能会受到影响。

0x06 漏洞加固

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：https://discuz.dismall.com/

原文始发于微信公众号（安迈信科应急响应中心）：【漏洞通告】Discuz 代码执行漏洞