Discuz! X3.4 正式版水平越权漏洞反馈

helte

各位大佬：
   小弟在安装Discuz! X3.4 正式版，在渗透测试阶段发现Discuz! X3.4 正式版存在水平越权漏洞，URL地址栏直接有uid参数，随手把8改成7就变成另外一个用户的个人设置页面，该漏洞应该属于高危漏洞，且若Discuz! X3.4 正式版应用的论坛较多，那此漏洞就是漏洞中最高的通用漏洞，且危害极大，请各位大佬及研发帮忙修复，谢谢！！！

1 贡献+5 金币

最佳答案

这就和你访问别人qq空间一样，这有什么漏洞的？

• dashen
• 发表于2022-11-28 23:23:00
• 详细答案 >

dashen

这就和你访问别人qq空间一样，这有什么漏洞的？

mingkong

截图看起来不是漏洞啊，只是你访问了另一个用户的个人资料页面而已。

crx349

个人资料页 访问uid变化 确实不是什么漏洞呢