请选择 进入手机版 | 继续访问电脑版
查看: 286|回复: 3

[已解决] Discuz! X3.4 正式版水平越权漏洞反馈

[复制链接]

1

主题

0

回帖

1

积分

初学乍练

贡献
0 点
金币
0 个
发表于 2022-11-28 23:19:02 | 显示全部楼层 |阅读模式
各位大佬:
   小弟在安装Discuz! X3.4 正式版,在渗透测试阶段发现Discuz! X3.4 正式版存在水平越权漏洞,URL地址栏直接有uid参数,随手把8改成7就变成另外一个用户的个人设置页面,该漏洞应该属于高危漏洞,且若Discuz! X3.4 正式版应用的论坛较多,那此漏洞就是漏洞中最高的通用漏洞,且危害极大,请各位大佬及研发帮忙修复,谢谢!!!
截图202211282314515146.jpg 截图202211282311166928.jpg
5 金币+5 金币

最佳答案

这就和你访问别人qq空间一样,这有什么漏洞的?
回复

使用道具 举报

53

主题

1250

回帖

3万

积分

管理员

贡献
2000 点
金币
1854 个
发表于 2022-11-28 23:23:00 | 显示全部楼层
这就和你访问别人qq空间一样,这有什么漏洞的?
回复 支持 反对

使用道具 举报

3

主题

629

回帖

1123

积分

应用开发者

DSVUE

贡献
0 点
金币
414 个
QQ
发表于 2022-11-28 23:23:21 | 显示全部楼层
截图看起来不是漏洞啊,只是你访问了另一个用户的个人资料页面而已。
乐山网景科技有限公司-专业建站服务 | 最新DZ插件和模板  | 业务联系QQ:631847671 | 技术支持交流Q群:476397924
承接APP、DZ插件开发、PHP二次开发、网站模板制作、网站搬家、各类网站疑难杂症解决(谢绝担保交易,需支付定金)
回复 支持 反对

使用道具 举报

18

主题

1288

回帖

1930

积分

应用开发者

贡献
7 点
金币
542 个
QQ
发表于 2022-11-28 23:38:13 | 显示全部楼层
个人资料页 访问uid变化 确实不是什么漏洞呢
无限星辰工作室  好集导航 免费API
服务Discuz建站|定制|小程序|APP定制|故障维修|搬家|运维|挂马清理|防护|性能优化|安全运维|
服务理念:专业 诚信 友好QQ842062626 服务
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

添加有偿服务QQ
添加有偿服务微信