关于近期 Discuz! 相关漏洞传闻的官方说明与安全提示

Killer

各位亲爱的 Discuz! 站长及社区伙伴：​


近日，我们关注到部分渠道流传关于 Discuz! 系统存在安全漏洞的讨论，引发了不少站长的担忧。作为陪伴大家 24 年的社区技术伙伴，我们深知每一份信任的重量，特此就相关情况作出正式说明，以正视听。​


一、关于此次漏洞的核心事实​
漏洞已彻底修复​
针对网传涉及的特定功能模块漏洞，我们已在最新代码中予以修复，通过修正风险代码逻辑及增加多层校验完成双重加固。官方2025年7月后的版本更新中问题将会彻底解决。​

实际影响范围有限​
该功能模块为 Discuz! X 中的可选功能，默认处于关闭状态，需管理员手动开启后才可能触发。根据数据显示，仅少数站点启用该功能。​

漏洞原理说明​
此次漏洞源于用户提交内容的校验疏漏，不涉及用户数据泄露风险，且仅影响特定版本的自定义模块。通俗而言，这如同未启用的备用门存在锁具瑕疵，而绝大多数站点未使用该门扉。​

二、给站长的安全建议​
快速自查指南​
登录后台「全局 - 站点功能」，确认「日志」模块状态，关闭即无风险；​
升级至 X3.5系列2025年7月后版本的用户可忽略此次风险。​
或临时按照此修改自行修复代码：https://gitee.com/Discuz/DiscuzX ... b495605b8fb7e1da647

谣言识别提示​
近期发现部分传言存在明显夸大，例如将「XSS漏洞」曲解为「数据库泄露风险」，或将「可选模块」描述为「核心功能」。请大家注意甄别：所有官方信息均会通过 discuz.vip 域名及认证公众号发布，切勿轻信非官方渠道的截图与视频。​
​
从 2001 年至今，Discuz! 始终相信：社区的安全不是单方面的守护，而是开发者与站长共同构筑的防线。感谢大家在此次事件中展现的理性与支持，也恳请各位伙伴协助抵制不实信息扩散，让我们的精力更多地投入到创造有价值的社区内容中。​
如有任何疑问，欢迎随时通过官方渠道联系我们。​

Discuz! 官方团队​

2025 年 8 月 4 日

鸿茂传媒

前排支持一下。

一定

我网站的日志模块启用了，有没有临时修复方案啊。

科站网

前排留名~

湖中沉

一定 发表于 2025-8-4 09:54
我网站的日志模块启用了，有没有临时修复方案啊。

https://gitee.com/Discuz/DiscuzX ... b495605b8fb7e1da647

crx349

前排支持一下~